Vulnerabilitatea de securitate WinRAR exploatată în atacuri de tip Zero-Day vizează toți brokerii

O vulnerabilitate recent corectată în popularul software de arhivare WinRAR a fost exploatată ca o eroare de securitate de tip zero-day începând cu aprilie 2023, arată noile descoperiri ale Group-IB.

Vulnerabilitatea, catalogată drept CVE-2023-38831, permite atacatorilor să falsifice extensiile de fișiere, făcând astfel posibilă lansarea de scripturi malițioase conținute într-o arhivă care se deghizează în fișiere de imagine sau de text aparent inofensive. Aceasta a fost abordată în versiunea 6.23 lansată la 2 august 2023, alături de CVE-2023-40477.

În atacurile descoperite de firma cu sediul în Singapore în iulie 2023, fișierele de arhivă ZIP sau RAR special create, distribuite prin intermediul forumurilor legate de tranzacționare, cum ar fi Forex Station, au fost folosite pentru a livra o varietate de familii de programe malware, cum ar fi DarkMe, GuLoader și Remcos RAT.

După ce infectează dispozitivele, infractorii cibernetici retrag bani din conturile brokerilor„, a declarat Andrey Polovinkin, analist malware la Group-IB, adăugând că până la 130 de dispozitive ale traderilor au fost compromise în cadrul campaniei. Numărul total de victime și pierderile financiare care decurg din această activitate nu sunt momentan clare.

Fișierul arhivă capcană este creat astfel încât să conțină un fișier imagine, precum și un dosar cu același nume.

WinRAR vulnerabilitate Zero-Day

Ca urmare, atunci când o victimă face clic pe imagine, în locul acesteia este executat un script batch prezent în dosar, care este apoi utilizat pentru a lansa următoarea etapă, o arhivă SFX CAB concepută pentru a extrage și lansa fișiere suplimentare. În același timp, scriptul încarcă și imaginea momeală pentru a nu trezi suspiciuni.

CVE-2023-38831 este cauzată de o eroare de procesare la deschiderea fișierului din arhiva ZIP„, a declarat Polovinkin pentru The Hacker News. „Arhivele ZIP capcană au fost distribuite pe cel puțin 8 forumuri populare de tranzacționare, astfel încât geolocalizarea victimelor este largă, iar atacurile nu vizează anumite țări sau industrii.

Nu se știe încă cine se află în spatele atacurilor care profită de deficiența WinRAR. Acestea fiind spuse, DarkMe este un troian Visual Basic atribuit grupului EvilNum, documentat pentru prima dată de NSFOCUS în septembrie 2022 în legătură cu o campanie de phishing cu numele de cod DarkCasino care viza serviciile europene de jocuri de noroc și de tranzacționare online.

De asemenea, este livrată prin această metodă o tulpină de malware numită GuLoader (alias CloudEye) care încearcă ulterior să aducă Remcos RAT de pe un server de la distanță.

Cazurile recente de exploatare a CVE-2023-38831 ne reamintesc de riscurile constante legate de vulnerabilitățile software„, a declarat Polovinkin. „Atacatorii sunt foarte descurcăreți și vor găsi mereu noi modalități de a descoperi și ulterior de a exploata vulnerabilitățile.

Sursa: TheHackerNews.com

Tradus și adaptat cu www.DeepL.com/Translator (free version)