Κυβερνοεγκληματίες εκμεταλλεύονται ένα zero-day bug του WinRAR, του αξιόλογου εργαλείου συμπίεσης και αρχειοθέτησης για τα Windows, για να στοχεύσουν τους επενδυτές και να κλέψουν κεφάλαια.
Η εταιρεία κυβερνοασφάλειας Group-IB ανακάλυψε μια ευπάθεια που επηρεάζει την επεξεργασία του αρχείου ZIP από το WinRAR τον Ιούνιο. Το zero-day bug – πράγμα που σημαίνει ότι ο προμηθευτής δεν είχε χρόνο, ή μηδέν ημέρες, να την επιδιορθώσει πριν εκμεταλλευτείται – επιτρέπει στους χάκερ να κρύβουν κακόβουλα script σε αρχεία archive που παρουσιάζονται ως εικόνες “.jpg” ή αρχεία κειμένου “.txt”, για παράδειγμα, με στόχο την παραβίαση των συστημάτων στόχων.
Η Group-IB αναφέρει ότι χάκερ εκμεταλλεύονται αυτήν την ευπάθεια από τον Απρίλιο για να διαδίδουν κακόβουλα αρχεία ZIP σε εξειδικευμένα trading forums. Η Group-IB δηλώνει στο TechCrunch ότι κακόβουλα αρχεία ZIP αναρτήθηκαν σε τουλάχιστον οκτώ δημόσια φόρουμ, τα οποία “καλύπτουν μια ευρεία γκάμα θεμάτων σχετικά με εμπόριο, επενδύσεις και κρυπτονομίσματα”. Η Group-IB αρνείται να αποκαλύψει τα στοχευμένα φόρουμ.
Σε ένα από τα forum, οι διαχειριστές ενημερώθηκαν ότι κοινοποιήθηκαν κακόβουλα αρχεία και αμέσως εξέδωσαν προειδοποίηση στους χρήστες τους. Το φόρουμ πήρε επίσης μέτρα για να αποκλείσει τους λογαριασμούς που χρησιμοποίησαν οι επιτιθέμενοι, αλλά η Group-IB είδε αποδείξεις ότι οι χάκερς “μπόρεσαν να ξεκλειδώσουν λογαριασμούς που είχαν απενεργοποιηθεί από τους διαχειριστές του φόρουμ για να συνεχίσουν να εξαπλώνουν κακόβουλα αρχεία, είτε μέσω αναρτήσεων σε θέματα είτε μέσω προσωπικών μηνυμάτων.”
Μόλις ένας στοχοθετημένος χρήστης φόρουμ ανοίγει το αρχείο με το malware, οι χάκερ αποκτούν πρόσβαση στους λογαριασμούς των θυμάτων τους, επιτρέποντάς τους να πραγματοποιούν παράνομες χρηματοοικονομικές συναλλαγές και ανάληψη κεφαλαίων, σύμφωνα με την Group-IB. Η εταιρεία κυβερνοασφάλειας αναφέρει στο TechCrunch ότι αυτή την στιγμή, οι συσκευές τουλάχιστον 130 συναλλακτών έχουν μολυνθεί, αλλά σημειώνει ότι δεν έχει “κανένα επίγνωση για οικονομικές απώλειες σε αυτό το στάδιο”.
Ένα θύμα ανέφερε στους ερευνητές της Group-IB ότι οι χάκερ προσπάθησαν να αποσύρουν τα χρήματά τους, αλλά ανεπιτυχώς.
Δεν είναι γνωστό ποιος κρύβεται πίσω από την εκμετάλλευση του zero-day bug του WinRAR. Ωστόσο, η ομάδα Group-IB ανέφερε ότι εντόπισε τους χάκερ να χρησιμοποιούν το DarkMe, ένα VisualBasic trojan που προηγουμένως συνδέθηκε με την απειλητική ομάδα “Evilnum”.
Η Evilnum, γνωστή και ως “TA4563”, είναι μια ομάδα απειλών με οικονομικά κίνητρα που δραστηριοποιείται στο Ηνωμένο Βασίλειο και την Ευρώπη τουλάχιστον από το 2018. Η ομάδα είναι γνωστή για τη στόχευση κυρίως χρηματοπιστωτικών οργανισμών και διαδικτυακών πλατφορμών συναλλαγών. Η Group-IB είπε ότι ενώ ταυτοποίησε το DarkMe trojan, «δεν μπορεί να συνδέσει οριστικά την προσδιορισμένη καμπάνια με αυτήν την ομάδα με οικονομικά κίνητρα».
Η Group-IB αναφέρει ότι ανέφερε την ευπάθεια, που παρακολουθείται ως CVE-2023-38831, στην εταιρεία Rarlab, η οποία είναι υπεύθυνη για το WinRAR. Μια ενημερωμένη έκδοση του WinRAR (έκδοση 6.23) για την επιδιόρθωση του προβλήματος κυκλοφόρησε στις 2 Αυγούστου.
Πηγή πληροφοριών: techcrunch.com
