Hakeri iskorišćavaju WinRAR zero-day ranjivost da bi ukrali sredstva sa brokerskih naloga // IT VESTI






Hakerski kriminalci iskorišćavaju zero-day ranjivost u programu WinRAR, starom i poznatom softveru za arhiviranje na Windows platformi, kako bi ciljali trgovce i ukrali novac.

Kompanija za kibernetičku bezbednost Group-IB je otkrila ovu ranjivost koja utiče na obradu ZIP formata datoteka od strane WinRAR-a u junu. Zero-day propust – što znači da proizvođač nije imao vremena, odnosno nula dana, da ga popravi pre nego što je iskorišćen – omogućava hakerima da sakriju zlonamerne skripte u arhivskim datotekama koje se maskiraju kao .jpg slike ili .txt datoteke, na primer, kako bi kompromitovali ciljane računare.

Group-IB navodi da hakeri iskorišćavaju ovu ranjivost od aprila da bi širili zlonamerne ZIP arhive na specijalizovanim forumima za trgovanje. Group-IB je rekao za TechCrunch da su zlonamerne ZIP arhive postavljane na najmanje osam javnih foruma koji „pokrivaju širok spektar trgovanja, investiranja i kripto-valuta.“ Group-IB nije otkrio imena ciljanih foruma.

U slučaju jednog od ciljanih foruma, administratori su primetili da su deljene zlonamerne datoteke i kasnije upozorili svoje korisnike. Forum je takođe preduzeo korake da blokira naloge koje su koristili napadači, ali Group-IB je uočio dokaze da su hakeri „bili sposobni da otključaju naloge koji su bili onemogućeni od strane administratora foruma kako bi nastavili širenje zlonamernih datoteka, bilo postavljanjem u temama ili privatnim porukama.“

Kada korisnik ciljanog foruma otvori datoteku sa zlonamernim sadržajem, hakeri dobijaju pristup nalozima za brokersko trgovanje svojih žrtava, omogućavajući im da izvrše nezakonite finansijske transakcije i povuku novac, prema Group-IB. Kompanija za kibernetičku bezbednost kaže za TechCrunch da je uređaje najmanje 130 trgovaca zaraženo u trenutku pisanja, ali napominje da nema „informacija o finansijskim gubicima u ovom trenutku.“

Jedna žrtva je rekla istraživačima Group-IB da su hakeri pokušali da povuku njihov novac, ali su bili neuspešni.

Nije poznato ko stoji iza iskorišćavanja zero-day ranjivosti u WinRAR-u. Međutim, Group-IB je primetio da hakeri koriste DarkMe, Visual Basic trojanca koji je prethodno bio povezan sa grupom pretnji poznatom kao „Evilnum.“

Evilnum, takođe poznata kao „TA4563,“ je grupa pretnji koja je motivisana finansijskim interesima i aktivna je u Velikoj Britaniji i Evropi barem od 2018. godine. Grupa je poznata po tome što cilja pretežno finansijske organizacije i platforme za online trgovanje. Group-IB je rekao da, iako je identifikovao DarkMe trojanca, „ne može sa sigurnošću povezati identifikovanu kampanju sa ovom grupom motivisanom finansijama.“

Group-IB kaže da je prijavio ranjivost, koja je praćena pod oznakom CVE-2023-38831, proizvođaču WinRAR-a, kompaniji Rarlab. Ažurirana verzija WinRAR-a (verzija 6.23) koja ispravlja ovu ranjivost puštena je u upotrebu 2. avgusta.



Source link

Hakerski kriminalci iskorišćavaju zero-day ranjivost u programu WinRAR, starom i poznatom softveru za arhiviranje na Windows platformi, kako bi ciljali trgovce i ukrali novac. Kompanija za kibernetičku bezbednost Group-IB je otkrila ovu ranjivost koja utiče…