Хакеры использовали уязвимость WinRAR для кражи криптовалют

Сингапурская фирма по кибербезопасности Group-IB сообщила об уязвимости нулевого дня CVE-2023-38831 программы WinRAR. В течение 4 месяцев злоумышленники использовали ее для установки вредоносного ПО и кражи цифровых активов.

Уязвимость нулевого дня — это дефект в безопасности программы, для устранения которого еще не выпущено обновление, по данным компании Microsoft.

Согласно отчету Group-IB, злоумышленники создавали вредоносные архивы RAR и ZIP, содержащие безобидные на первый взгляд PDF-документы или изображения в формате JPG. Внутри таких файлов находилось вредоносное ПО, помогавшее хакерам получить доступ к личной информации пользователя.

Впоследствии такие ZIP-архивы распространялись на форумах, ориентированных на криптотрейдеров. Они предлагались пользователям в виде руководства «Лучшая стратегия для торговли биткоинами».

При открытии файла скрипт запускал самораспаковывающийся архив, заражающий компьютер различными штаммами вредоносного ПО: DarkMe, GuLoader и Remcos RAT. Оно позволяло мошенникам взломать счет и вывести криптовалюту.

«Эту уязвимость использовали с апреля 2023 года. После извлечения и запуска вредоносное ПО помогало злоумышленникам снимать деньги со счетов брокеров», — говорится в отчете.

У специалистов Group-IB есть доказательства, что архивы выложили как минимум на восьми форумах, посвященных трейдингу и криптовалютам. Они заразили не менее 130 устройств, финансовые потери жертв неизвестны.

Эксперты сообщили компании RarLab о выявленном баге. Разработчики выпустили обновленную версию 6.23 программы WinRAR с исправленной уязвимостью. Всем пользователям архиватора файлов рекомендуется обновить ПО до последней версии.

Недавно злоумышленники протокол RocketSwap и украли около $866 000 в криптовалюте. Еще одна платформа Exactly Protocol около $7,2 млн в результате взлома.