Хакеры использовали уязвимость WinRAR для кражи криптовалют

Специалисты нашли уязвимость при обработке файла ZIP с помощью программы WinRAR. Хакеры использовали ее для взлома биржевых счетов и кражи активов. Жертвами эксплойта WinRAR стали около 130 человек. Сингапурская фирма по кибербезопасности Group-IB сообщила об уязвимости нулевого дня CVE-2023-38831 программы WinRAR. В течение 4 месяцев злоумышленники использовали ее для установки вредоносного ПО и кражи цифровых активов. https://twitter.com/GroupIB_TI/status/1694277126944633328?s20 Уязвимость нулевого дня — это дефект в безопасности программы, для устранения которого еще не выпущено обновление, по данным компании Microsoft. Согласно отчету Group-IB, злоумышленники создавали вредоносные архивы RAR и ZIP, содержащие безобидные на первый взгляд PDF-документы или изображения в формате JPG. Внутри таких файлов находилось вредоносное ПО, помогавшее хакерам получить доступ к личной информации пользователя. Пример вредоносного ZIP-архива, содержащего файл с поддельным расширением. Источник: Group-IB. Впоследствии такие ZIP-архивы распространялись на форумах, ориентированных на криптотрейдеров. Они предлагались пользователям в виде руководства «Лучшая стратегия для торговли биткоинами». При открытии файла скрипт запускал самораспаковывающийся архив, заражающий компьютер различными штаммами вредоносного ПО: DarkMe, GuLoader и Remcos RAT. Оно позволяло мошенникам взломать счет и вывести криптовалюту. «Эту уязвимость использовали с апреля 2023 года. После извлечения и запуска вредоносное ПО помогало злоумышленникам снимать деньги со счетов брокеров», — говорится в отчете. У специалистов Group-IB есть доказательства, что архивы выложили как минимум на восьми форумах, посвященных трейдингу и криптовалютам. Они заразили не менее 130 устройств, финансовые потери жертв неизвестны. Эксперты сообщили компании RarLab о выявленном баге. Разработчики выпустили обновленную версию 6.23 программы WinRAR с исправленной уязвимостью. Всем пользователям архиватора файлов рекомендуется обновить ПО до последней версии. Недавно злоумышленники взломали протокол RocketSwap и украли около $866 000 в криптовалюте. Еще одна платформа Exactly Protocol потеряла около $7,2 млн в результате взлома.