Хакеры воруют средства с брокерских счетов, используя ошибку "нулевого дня" в WinRAR

Об этом пишет TechCrunch.

Компания по кибербезопасности Group-IB обнаружила ошибку, влияющую на обработку формата ZIP-файла WinRAR в июне. Ошибка нулевого дня, то есть было нуль дней, чтобы исправить ее до того, как ее использовали, позволяет хакерам скрывать вредоносные сценарии в архивных файлах под видом изображений ".jpg" или ".txt", например, чтобы скомпрометировать счета.

Group-IB говорит, что хакеры использовали эту уязвимость с апреля для распространения вредоносных ZIP-архивов на, по меньшей мере, восьми публичных торговых форумах, охватывающих широкий спектр тем, связанных с торговлей, инвестициями и криптовалютой. В Group-IB отказались назвать целевые форумы. Фирма по кибербезопасности сообщает TechCrunch, что зараженные устройства не менее 130 трейдеров, но отмечает, что "пока нет сведений о финансовых потерях".

На одном из форумов администраторы выдали предупреждения своим пользователям, когда узнали о распространении вредоносных файлов. Форум заблокировал учетные записи, которыми пользуются злоумышленники, но хакеры "смогли разблокировать учетные записи, которые были отключены администраторами форума, чтобы продолжать распространять вредоносные файлы, то ли путем публикации в цепочках, то ли в личных сообщениях."

Как только пользователь форума открывает файл с вредоносным программным обеспечением, хакеры получают доступ к брокерским аккаунтам своих жертв, что позволяет им совершать незаконные финансовые операции и выводить средства. Одна жертва рассказала Group-IB, что хакеры пытались вывести их деньги, но неудачно.

Обновленная версия WinRAR (версия 6.23) для решения проблемы была выпущена 2 августа.

Кто стоит за кражами из-за "ошибки нулевого дня" WinRAR, неизвестно, однако Group-IB заявила, что наблюдала за использованием хакерами DarkMe, трояна VisualBasic, ранее связанного с группой угроз Evilnum.

Evilnum — группа угроз, действующая в Великобритании и Европе, по крайней мере, с 2018 года, известная тем, что нацелена преимущественно на финансовые организации и онлайн-торговые платформы. Group-IB заявила, что хотя идентифицировала троян DarkMe, она не может уверенно увязать идентифицированную тогда компанию с сегодняшними случаями.

• Хакеры КНДР пытались разведать информацию о военных учениях США и Южной Кореи.

• Anonymous активизировала свои кибератаки на Японию с прошлого месяца, после того как Международное агентство по атомной энергии заявило, что запланированный сброс очищенной радиоактивной воды с разрушенной атомной электростанции Фукусима будет соответствовать мировым стандартам безопасности.