Gli hacker sfruttano il bug zero-day di WinRAR per rubare fondi dai conti dei broker
I criminali informatici stanno sfruttando una vulnerabilità zero-day in WinRAR, il venerabile strumento di archiviazione shareware per Windows, per prendere di mira i trader e rubare fondi.
La società di sicurezza informatica Group-IB ha scoperto a giugno la vulnerabilità che colpisce l'elaborazione del formato file ZIP da parte di WinRAR.
La falla zero-day, ovvero il fornitore non ha avuto tempo, o zero giorni, per risolverla prima che venisse sfruttata, consente agli hacker di nascondere script dannosi nei file di archivio mascherati da immagini ".jpg" o file ".txt", ad esempio , per compromettere le macchine target.
Group-IB afferma che gli hacker sfruttano questa vulnerabilità da aprile per diffondere archivi ZIP dannosi su forum di trading specializzati.
Group-IB ha dichiarato a TechCrunch che archivi ZIP dannosi sono stati pubblicati su almeno otto forum pubblici, che "coprono una vasta gamma di argomenti relativi al commercio, agli investimenti e alle criptovalute".
Group-IB ha rifiutato di nominare i forum presi di mira.
Nel caso di uno dei forum presi di mira, gli amministratori si sono accorti che venivano condivisi file dannosi e hanno successivamente avvisato i propri utenti.
Il forum ha anche adottato misure per bloccare gli account utilizzati dagli aggressori, ma Group-IB ha riscontrato prove che gli hacker erano "in grado di sbloccare account che erano stati disabilitati dagli amministratori del forum per continuare a diffondere file dannosi, sia pubblicando in thread che messaggi privati.
" Una volta che un utente del forum preso di mira apre il file intriso di malware, gli hacker ottengono l'accesso ai conti di intermediazione delle loro vittime, consentendo loro di eseguire transazioni finanziarie illecite e prelevare fondi, secondo Group-IB.
La società di sicurezza informatica dice a TechCrunch che i dispositivi di almeno 130 trader sono infetti al momento della stesura di questo articolo, ma sottolinea che "non ha alcuna visione delle perdite finanziarie in questa fase".
Una vittima ha detto ai ricercatori del Group-IB che gli hacker hanno tentato di prelevare i loro soldi, ma non hanno avuto successo.
Non è noto chi si celi dietro lo sfruttamento del WinRAR zero-day.
Tuttavia, Group-IB ha affermato di aver osservato gli hacker utilizzare DarkMe, un trojan VisualBasic precedentemente collegato al gruppo di minacce "Evilnum".
Evilnum, noto anche come "TA4563", è un gruppo di minacce a sfondo finanziario attivo nel Regno Unito e in Europa almeno dal 2018.
Il gruppo è noto per prendere di mira principalmente organizzazioni finanziarie e piattaforme di trading online.
Group-IB ha affermato che, pur identificando il trojan DarkMe, "non è possibile collegare in modo definitivo la campagna identificata a questo gruppo motivato finanziariamente".
Group-IB afferma di aver segnalato la vulnerabilità, tracciata come CVE-2023-38831, al produttore di WinRAR Rarlab.
Una versione aggiornata di WinRAR (versione 6.23) per correggere il problema è stata rilasciata il 2 agosto.
28 anni dopo, Windows finalmente supporta i file RAR