Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Пользователей предупредили о хакерах, проводящих атаки с использованием новой уязвимости в WinRAR

40
1 мин
Специалисты по информационной безопасности компании Cluster25 выступили с заявлением о том, что неизвестные хакеры начали активную эксплуатацию недавно обнаруженной уязвимости в WinRAR. С помощью этой ошибки киберпреступники имеют возможность проводить эффективные фишинговые кампании и осуществлять сбор учетных данных о пользователе. В опубликованном несколько дней назад отчёте аналитики Cluster25 отмечают, что в своих кибератаках хакеры используют вредоносные архивы, которые эксплуатируют недавно выявленную уязвимость в программе WinRAR (до 6.23). Обнаруженная уязвимость отслеживается по идентификатору CVE-2023-38831. В рамках реализации своей киберпреступной схемы злоумышленники отправляют пользователям в фишинговых письмах специальные PDF-файлы, которые выступают в качестве приманки. Если пользователь решит открыть этот файл, на его устройстве начинается выполнение скрипта Windows Batch, после чего запускается несколько команд PowerShell, открывающих хакерам дистанционный доступ к ц
Изображение: Blake Connally (unsplash)
Изображение: Blake Connally (unsplash)

Специалисты по информационной безопасности компании Cluster25 выступили с заявлением о том, что неизвестные хакеры начали активную эксплуатацию недавно обнаруженной уязвимости в WinRAR. С помощью этой ошибки киберпреступники имеют возможность проводить эффективные фишинговые кампании и осуществлять сбор учетных данных о пользователе.

В опубликованном несколько дней назад отчёте аналитики Cluster25 отмечают, что в своих кибератаках хакеры используют вредоносные архивы, которые эксплуатируют недавно выявленную уязвимость в программе WinRAR (до 6.23). Обнаруженная уязвимость отслеживается по идентификатору CVE-2023-38831.

В рамках реализации своей киберпреступной схемы злоумышленники отправляют пользователям в фишинговых письмах специальные PDF-файлы, которые выступают в качестве приманки. Если пользователь решит открыть этот файл, на его устройстве начинается выполнение скрипта Windows Batch, после чего запускается несколько команд PowerShell, открывающих хакерам дистанционный доступ к целевому устройству.

Помимо этого, после открытия зараженного файла также осуществляется запуск другого PowerShell-скрипта, отвечающего за кражу конфиденциальной информации, в том числе и учетных данных, которые сохранены в браузерах Edge и Chrome. Для передачи украденных данных хакеры пользуются легитимным веб-сервисом webhook.site.

Специалисты по информационной безопасности из Cluster25 отмечают, что за этой киберпреступной операцией с эксплуатацией уязвимости в WinRAR может стоять известная хакерская группа APT28, которую также называют Fancy Bear или Sednit. Уточняется, что, как предполагают многие профильные ИБ-компании, эта группировка является русскоязычной.

Эксперты также подчеркивают еще интересный момент с уязвимостью CVE-2023-38831, которая сейчас активно применяется сейчас хакерами других группировок в атаках на трейдеров, о чем недавно сообщалось компанией Group-IB. Для киберпреступников эта уязвимость удобна тем, что с её помощью можно дистанционно выполнять код на целевом устройстве.

Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/

Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.