Хакери використовували вразливість WinRAR для крадіжки криптовалют

Фахівці знайшли вразливість під час обробки файлу ZIP за допомогою програми WinRAR. Хакери використовували її для злому біржових рахунків і крадіжки активів. Жертвами експлойту WinRAR стали близько 130 осіб. Сінгапурська фірма з кібербезпеки Group-IB повідомила про вразливість нульового дня CVE-2023-38831 програми WinRAR. Протягом 4 місяців зловмисники використовували її для встановлення шкідливого ПЗ і крадіжки цифрових активів. https://twitter.com/GroupIB_TI/status/1694277126944633328?s20 Уразливість нульового дня — це дефект у безпеці програми, для усунення якого ще не випущено оновлення, за даними компанії Microsoft. Згідно зі звітом Group-IB, зловмисники створювали шкідливі архіви RAR і ZIP, що містили нешкідливі на перший погляд PDF-документи або зображення у форматі JPG. Усередині таких файлів містилося шкідливе ПЗ, що допомагало хакерам отримати доступ до особистої інформації користувача. Приклад шкідливого ZIP-архіву, що містить файл із підробленим розширенням. Джерело: Group-IB. Згодом такі ZIP-архіви поширювалися на форумах, орієнтованих на криптотрейдерів. Вони пропонувалися користувачам у вигляді керівництва «Найкраща стратегія для торгівлі біткоїнами». Під час відкриття файлу скрипт запускав саморозпаковувальний архів, що заражав комп'ютер різними штамами шкідливого ПЗ: DarkMe, GuLoader і Remcos RAT. Воно давало змогу шахраям зламати рахунок і вивести криптовалюту. «Цю вразливість використовували з квітня 2023 року. Після вилучення і запуску шкідливе ПЗ допомагало зловмисникам знімати гроші з рахунків брокерів», — ідеться у звіті. У фахівців Group-IB є докази, що архіви виклали щонайменше на восьми форумах, присвячених трейдингу і криптовалютам. Вони заразили щонайменше 130 пристроїв, фінансові втрати жертв невідомі. Експерти повідомили компанії RarLab про виявлений баг. Розробники випустили оновлену версію 6.23 програми WinRAR з виправленою вразливістю. Усім користувачам архіватора файлів рекомендується оновити ПЗ до останньої версії. Нещодавно зловмисники зламали протокол RocketSwap і вкрали близько $866 000 у криптовалюті. Ще одна платформа Exactly Protocol втратила близько $7,2 млн унаслідок злому.