Οι χάκερ εκμεταλλεύονται το σφάλμα WinRAR zero-day για να κλέψουν χρήματα από λογαριασμούς μεσίτη

By

Marizas Dimitris

On

Αυγ 23, 2023

Οι εγκληματίες του κυβερνοχώρου εκμεταλλεύονται μια ευπάθεια zero-day στο WinRAR, το αξιοσέβαστο εργαλείο αρχειοθέτησης shareware για τα Windows, για να στοχεύσουν εμπόρους και να κλέψουν κεφάλαια.

Η εταιρεία

κυβερνοασφάλεια

ς Group-IB ανακάλυψε την ευπάθεια, η οποία επηρεάζει την επεξεργασία της μορφής αρχείου ZIP από το WinRAR, τον Ιούνιο. Το ελάττωμα zero-day – που σημαίνει ότι ο προμηθευτής δεν είχε χρόνο ή μηδέν ημέρες για να το διορθώσει πριν γίνει εκμετάλλευσή του – επιτρέπει στους χάκερ να κρύβουν κακόβουλα σενάρια σε αρχεία αρχειοθέτησης που μεταμφιέζονται σε εικόνες “.jpg” ή αρχεία “.txt”, για παράδειγμα , για συμβιβασμό μηχανών-στόχων.

Η Group-IB λέει ότι οι χάκερ εκμεταλλεύονται αυτήν την ευπάθεια από τον Απρίλιο για να διαδώσουν κακόβουλα αρχεία ZIP σε εξειδικευμένα φόρουμ συναλλαγών. Το Group-IB λέει στο TechCrunch ότι κακόβουλα αρχεία ZIP δημοσιεύτηκαν σε τουλάχιστον οκτώ δημόσια φόρουμ, τα οποία «καλύπτουν ένα ευρύ φάσμα θεμάτων συναλλαγών, επενδύσεων και κρυπτονομισμάτων». Το Group-IB αρνήθηκε να κατονομάσει τα στοχευμένα φόρουμ.

Στην περίπτωση ενός από τα στοχευμένα φόρουμ, οι διαχειριστές αντιλήφθηκαν ότι κοινοποιήθηκαν κακόβουλα αρχεία και στη συνέχεια εξέδωσαν μια προειδοποίηση στους χρήστες τους. Το φόρουμ έλαβε επίσης μέτρα για τον αποκλεισμό των λογαριασμών που χρησιμοποιούσαν οι εισβολείς, αλλά το Group-IB είδε στοιχεία ότι οι χάκερ «μπορούσαν να ξεκλειδώσουν λογαριασμούς που είχαν απενεργοποιηθεί από τους διαχειριστές του φόρουμ για να συνεχίσουν να διαδίδουν κακόβουλα αρχεία, είτε δημοσιεύοντας σε νήματα είτε προσωπικά μηνύματα. ”

Μόλις ένας στοχευμένος χρήστης του φόρουμ ανοίξει το αρχείο με κακόβουλο λογισμικό, οι χάκερ αποκτούν πρόσβαση στους μεσιτικούς λογαριασμούς των θυμάτων τους, δίνοντάς τους τη δυνατότητα να εκτελούν παράνομες οικονομικές συναλλαγές και να αποσύρουν χρήματα, σύμφωνα με την Group-IB. Η εταιρεία κυβερνοασφάλειας λέει στο TechCrunch ότι οι

συσκευές

τουλάχιστον 130 εμπόρων έχουν μολυνθεί τη στιγμή της γραφής, αλλά σημειώνει ότι «δεν έχει καμία εικόνα για τις οικονομικές απώλειες σε αυτό το στάδιο».

Ένα θύμα είπε στους ερευνητές του Group-ID ότι οι χάκερ προσπάθησαν να αποσύρουν τα χρήματά τους, αλλά δεν τα κατάφεραν.

Δεν είναι γνωστό ποιος βρίσκεται πίσω από την εκμετάλλευση του WinRAR zero-day. Ωστόσο, η Group-IB είπε ότι παρατήρησε τους χάκερ που χρησιμοποιούν το DarkMe, ένα trojan της VisualBasic που είχε προηγουμένως συνδεθεί με την ομάδα απειλών “Evilnum”.

Το Evilnum, γνωστό και ως “TA4563”, είναι μια ομάδα απειλών με οικονομικά κίνητρα που δραστηριοποιείται στο Ηνωμένο Βασίλειο και την

Ευρώπη

τουλάχιστον από το 2018. Η ομάδα είναι γνωστή για τη στόχευση κυρίως χρηματοπιστωτικών οργανισμών και διαδικτυακών πλατφορμών συναλλαγών. Το Group-IB είπε ότι ενώ ταυτοποίησε το DarkMe trojan, «δεν μπορεί να συνδέσει οριστικά την προσδιορισμένη

καμπάνια

με αυτήν την ομάδα με οικονομικά κίνητρα».

Το Group-IB λέει ότι ανέφερε την ευπάθεια, παρακολουθούμενη ως CVE-2023-38831,

στο WinRAR-maker Rarlab. Μια ενημερωμένη έκδοση του WinRAR (έκδοση 6.23) για την επιδιόρθωση του ζητήματος κυκλοφόρησε στις 2 Αυγούστου.

techcrunch.com

Παρόμοια άρθρα