Gli sviluppatori del software di compressione file WinRAR hanno corretto una vulnerabilità zero-day che consentiva agli hacker di installare malware sui computer di vittime ignare, consentendo loro di hackerare i loro account di criptovalute e di trading azionario.

Il 23 agosto, la società di sicurezza informatica Group-IB con sede a Singapore ha segnalato una vulnerabilità zero-day nell'elaborazione del formato di file ZIP da parte di WinRAR.

La vulnerabilità zero-day tracciata come CVE-2023-38831 è stata sfruttata per circa quattro mesi, consentendo agli hacker di installare malware quando una vittima cliccava sui file in un archivio. Il malware avrebbe quindi consentito agli hacker di violare gli account di trading di criptovalute e azioni online, secondo il rapporto.

Utilizzando l'exploit, gli autori della minaccia sono stati in grado di creare archivi RAR e ZIP dannosi che mostravano file apparentemente innocenti come immagini JPG o documenti di testo PDF. Questi archivi ZIP trasformati in armi sono stati poi distribuiti su forum di trading che prendevano di mira i trader di criptovalute offrendo strategie come "la migliore strategia personale per fare trading con Bitcoin".

Una volta estratto ed eseguito, il malware consente agli autori della minaccia di prelevare denaro dai conti dei broker. Questa vulnerabilità è stata sfruttata da aprile 2023.

Il rapporto ha confermato che gli archivi dannosi sono penetrati in almeno otto forum di trading pubblici, infettando almeno 130 dispositivi; tuttavia, non si conoscono le perdite finanziarie subite dalle vittime.

Catena di infezione dell'exploit WinRar. Fonte: Group-IB

Una volta eseguito, lo script avvia un archivio autoestraente (SFX) che infetta il computer di destinazione con vari ceppi di malware, come DarkMe, GuLoader e Remcos RAT.

Questi forniscono all'attaccante privilegi di accesso remoto sul computer infetto. Il malware DarkMe è stato precedentemente utilizzato in attacchi crypto e motivati ​​finanziariamente.

I ricercatori hanno informato RARLABS, che ha corretto la vulnerabilità zero-day nella versione 6.23 di WinRAR, rilasciata il 2 agosto.

Ad agosto, il colosso degli smartphone BlackBerry ha identificato diverse famiglie di malware che miravano attivamente a dirottare i computer per estrarre o rubare criptovalute.

Nello stesso mese è stato anche rivelato che un nuovo strumento di accesso remoto denominato HVNC (Hidden Virtual Network Computer), che consente agli hacker di compromettere i sistemi operativi Apple, è stato trovato in vendita sul dark web.

Rivista: I progetti crittografici dovrebbero mai negoziare con gli hacker? Probabilmente