WinRAR исправляет ошибку нулевого дня, нацеленную на трейдеров акций и криптовалют

Разработчики программного обеспечения для сжатия файлов WinRAR устранили уязвимость нулевого дня, которая позволяла хакерам устанавливать вредоносное ПО на компьютеры ничего не подозревающих жертв, что давало им возможность взламывать их счета для торговли криптовалютой и акциями.
23 августа сингапурская компания Group-IB, занимающаяся кибербезопасностью, сообщила об уязвимости нулевого дня при обработке формата файлов ZIP программой WinRAR.
Уязвимость нулевого дня, отслеживаемая как CVE-2023-38831, эксплуатировалась в течение примерно четырех месяцев, позволяя хакерам устанавливать вредоносное ПО, когда жертва нажимала на файлы в архиве. Затем вредоносное ПО позволяло хакерам взламывать онлайн-счета криптовалюты и торговли акциями, согласно отчету.
Используя эксплойт, злоумышленники смогли создать вредоносные архивы RAR и ZIP, которые отображали, казалось бы, невинные файлы, такие как изображения JPG или текстовые документы PDF. Эти превращенные в оружие архивы ZIP затем распространялись на торговых форумах, нацеленных на криптотрейдеров, предлагающих стратегии, такие как «лучшая персональная стратегия для торговли с биткоинами».
После извлечения и запуска вредоносное ПО позволяет злоумышленникам снимать деньги со счетов брокеров. Эта уязвимость эксплуатируется с апреля 2023 года.
В отчете подтверждается, что вредоносные архивы попали по меньшей мере на восемь публичных торговых форумов, заразив не менее 130 устройств. Однако финансовые потери жертвы неизвестны.
WinRar эксплойт цепочка заражения. Источник: Group-IB
При выполнении скрипт запускает самораспаковывающийся (SFX) архив, который заражает целевой компьютер различными штаммами вредоносного ПО, такими как DarkMe, GuLoader и Remcos RAT.
Они предоставляют злоумышленнику привилегии удаленного доступа к зараженному компьютеру. Вредоносное ПО DarkMe ранее использовалось в крипто- и финансово-мотивированных атаках.
Исследователи уведомили RARLABS, которая исправила уязвимость нулевого дня в WinRAR версии 6.23, выпущенной 2 августа.
В августе гигант по производству смартфонов BlackBerry выявил несколько семейств вредоносных программ, которые активно стремились взломать компьютеры с целью майнинга или кражи криптовалют.
В том же месяце было обнаружено, что в даркнете продается недавно обнаруженный инструмент удаленного доступа под названием HVNC (Hidden Virtual Network Computer), который позволяет хакерам взломать операционные системы Apple.
Журнал: Стоит ли криптопроектам вести переговоры с хакерами? Вероятно