Разработчики программного обеспечения для сжатия файлов WinRAR исправили уязвимость нулевого дня, которая позволяла хакерам использовать ZIP-архивы для устанавливки вредоносного ПО на компьютеры ничего не подозревающих жертв, позволявшее злоумышленнику взламывать их криптовалютные и биржевые торговые счета.
Получай до 9210$ без процедуры KYC Toobit
23 августа сингапурская фирма по кибербезопасности Group-IB сообщила об уязвимости нулевого дня при обработке файла формата ZIP с помощью WinRAR.
Уязвимость нулевого дня, обозначенная как CVE-2023-38831, эксплуатировалась в течение примерно четырех месяцев, позволяя хакерам устанавливать вредоносное ПО, когда жертва нажимала на файлы в архиве. Согласно отчету, вредоносное ПО затем позволяло хакерам взламывать торговые онлайн-счета криптовалютных и фондовых бирж.
Используя этот эксплойт, злоумышленники смогли создать вредоносные архивы RAR и ZIP, в которых отображались, казалось бы, невинные файлы, такие как изображения JPG или текстовые документы PDF. Эти превращенные в оружие ZIP-архивы затем распространялись на торговых форумах, ориентированных на криптотрейдеров, предлагая такие стратегии, как «лучшая персональная стратегия для торговли биткойнами».
«После извлечения и запуска вредоносное ПО позволяет злоумышленникам снимать деньги со счетов брокеров. Эта уязвимость эксплуатируется с апреля 2023 года», – говорится в сообщении.
В отчете подтверждено, что вредоносные архивы проникли как минимум на восемь публичных торговых форумов, заразив не менее 130 устройств, однако финансовые потери жертвы неизвестны.
При выполнении скрипт запускает самораспаковывающийся (SFX) архив, который заражает целевой компьютер различными штаммами вредоносного ПО, такими как DarkMe, GuLoader и Remcos RAT.
Они предоставляют злоумышленнику права удаленного доступа к зараженному компьютеру. Вредоносное ПО DarkMe ранее использовалось в крипто- и финансово мотивированных атаках.
Исследователи уведомили RARLABS, и та исправила уязвимость нулевого дня в WinRAR версии 6.23, выпущенной 2 августа.
В августе гигант смартфонов BlackBerry назвал несколько семейств вредоносных программ, которые активно стремились взломать компьютеры для майнинга или кражи криптовалют.
В июле также было обнаружено средство удаленного доступа под названием HVNC (Hidden Virtual Network Computer), которое может позволить хакерам скомпрометировать операционные системы Apple. Это вредоносное ПО продавалось в даркнете.
