Хакеры активно эксплуатируют недавно обнаруженную уязвимость в популярной программе архивации для Windows, WinRAR, чтобы взламывать аккаунты трейдеров и украсть их средства. Уязвимость была обнаружена Group-IB в июне этого года и затрагивает обработку ZIP-файлов программой.
Уязвимость нулевого дня позволяет злоумышленникам скрывать вредоносные скрипты в архивных файлах, маскируя их под изображения “.jpg” или текстовые файлы “.txt”, что в свою очередь компрометирует целевые машины.
С апреля этого года злоумышленники распространяли вредоносные архивы на специализированных торговых форумах. Group-IB обнаружила вредоносные архивы, размещенные на, по меньшей мере, восьми публичных форумах, связанных с торговлей, инвестициями и криптовалютами. Названия этих форумов компания не раскрыла.
После обнаружения вредоносных файлов на одном из форумов, администрация предупредила своих пользователей и заблокировала аккаунты атакующих. Однако Group-IB нашла доказательства того, что хакерам удавалось разблокировать отключенные администрацией аккаунты и продолжать распространять вредоносные файлы.
При открытии зараженного файла хакеры получают доступ к брокерским счетам жертв и могут проводить незаконные финансовые операции. К настоящему моменту заражены устройства по меньшей мере 130 трейдеров.
Неизвестно, кто стоит за эксплуатацией этой уязвимости в WinRAR. Однако Group-IB отметила, что хакеры использовали троян DarkMe, ранее связанный с группой угроз “Evilnum”, активной в Великобритании и Европе с 2018 года и известной своими атаками на финансовые организации и онлайн-торговые платформы.
Group-IB сообщила о уязвимости разработчикам WinRAR, и 2 августа была выпущена обновленная версия программы (6.23), в которой проблема была устранена.