Специалисты по информационной безопасности компании Cluster25 выступили с заявлением о том, что неизвестные хакеры начали активную эксплуатацию недавно обнаруженной уязвимости в WinRAR. С помощью этой ошибки киберпреступники имеют возможность проводить эффективные фишинговые кампании и осуществлять сбор учетных данных о пользователе.
В опубликованном несколько дней назад отчёте аналитики Cluster25 отмечают, что в своих кибератаках хакеры используют вредоносные архивы, которые эксплуатируют недавно выявленную уязвимость в программе WinRAR (до 6.23). Обнаруженная уязвимость отслеживается по идентификатору CVE-2023-38831.
В рамках реализации своей киберпреступной схемы злоумышленники отправляют пользователям в фишинговых письмах специальные PDF-файлы, которые выступают в качестве приманки. Если пользователь решит открыть этот файл, на его устройстве начинается выполнение скрипта Windows Batch, после чего запускается несколько команд PowerShell, открывающих хакерам дистанционный доступ к целевому устройству.
Помимо этого, после открытия зараженного файла также осуществляется запуск другого PowerShell-скрипта, отвечающего за кражу конфиденциальной информации, в том числе и учетных данных, которые сохранены в браузерах Edge и Chrome. Для передачи украденных данных хакеры пользуются легитимным веб-сервисом webhook.site.
Специалисты по информационной безопасности из Cluster25 отмечают, что за этой киберпреступной операцией с эксплуатацией уязвимости в WinRAR может стоять известная хакерская группа APT28, которую также называют Fancy Bear или Sednit. Уточняется, что, как предполагают многие профильные ИБ-компании, эта группировка является русскоязычной.
Эксперты также подчеркивают еще интересный момент с уязвимостью CVE-2023-38831, которая сейчас активно применяется сейчас хакерами других группировок в атаках на трейдеров, о чем недавно сообщалось компанией Group-IB. Для киберпреступников эта уязвимость удобна тем, что с её помощью можно дистанционно выполнять код на целевом устройстве.
Актуальные вакансии по ИБ: https://cisoclub.ru/vacancy/. Отправить резюме во все популярные IT-компании: https://cisoclub.ru/jobmail/
Больше интересного материала на cisoclub.ru. Подписывайтесь на нас: VK | Twitter | Rutube | Telegram | Дзен | YouTube.