Компания Group IB обнаружила в популярном архиваторе WinRAR опасную уязвимость. С её помощью злоумышленники распространяли вредоносное ПО, способное красть деньги с брокерских счетов. Эксперты раскрыли подробности о своей находке, и рассказали, как защититься от хакеров.
По данным источника, хакеры создавали ZIP-архив с изображением, после открытия которого на компьютере жертвы запускался специальный скрипт, «заряженный» в файл с расширением ICO. Он устанавливал вредоносное ПО — например, DarkMe, GuLoader или Remcos RAT. При этом для запуска процесса требовался именно WinRAR.
«В ходе нашего расследования мы заметили, что ZIP-архив имеет изменённую файловую структуру. В архиве есть два файла: изображение и скрипт. Вместо открытия картинки запускается скрипт. Его основная цель — инициировать следующий этап атаки путём запуска свёрнутого окна», — рассказали представители Group IB.
Согласно отчёту специалистов, от действий злоумышленников пострадали не менее 130 человек, а сама уязвимость эксплуатировалась с апреля текущего года. Заражённые архивы распространялись через трейдерские форумы и темы, связанные с криптовалютами, при этом вредоносные программы переводили деньги с брокерских счетов пострадавших на счета хакеров.
Уязвимость уже была исправлена в версии WinRAR 6.23 — разработчики настоятельно рекомендуют пользователям обновить приложение.
