Злоумышленники воспользовались нулевым WinRAR

Jun 03, 2023

Злоумышленники, мотивированные финансовыми соображениями, воспользовались уязвимостью нулевого дня в WinRAR (CVE-2023-38831), чтобы обманом заставить трейдеров установить вредоносное ПО, которое позволило бы им украсть деньги с брокерских счетов.

«Эта уязвимость эксплуатируется с апреля 2023 года», — говорит аналитик вредоносного ПО Group-IB Андрей Половинкин. В ходе этой кампании устройства как минимум 130 трейдеров (а, возможно, и больше) были заражены вредоносным ПО.

CVE-2023-38831 — уязвимость подмены расширения файла, которая позволяла злоумышленникам создать модифицированный RAR- или ZIP-архив, содержащий безвредные файлы и вредоносные файлы (скрипты, расположенные в папке с тем же именем, что и безобидный файл).

«Все выявленные нами архивы были созданы одним и тем же методом. Все они также имели схожую структуру, состоящую из файла-приманки и папки, содержащей смесь вредоносных и неиспользуемых файлов. Если пользователь открывает файл-приманку, который отображается в формате .txt, .jpg. или другое расширение файла в WinRAR, вместо этого выполняется вредоносный скрипт», — пояснил Половинкин.

Файл-приманка также открывается, чтобы завершить иллюзию, но в фоновом режиме незаметно устанавливается вредоносное ПО DarkMe, GuLoader и/или Remcos RAT, что позволяет злоумышленникам получить удаленный доступ к компьютеру жертвы.

Аналитики угроз Group-IB обнаружили, что CVE-2023-38831 использовался для распространения вредоносного ПО DarkMe в начале июля 2023 года.

«Изначально наше исследование привело нас к выводу, что это известная эволюция уязвимости, ранее обнаруженной исследователем безопасности Данором Коэном в 2014 году. Был обнаружен метод изменения заголовка ZIP для подделки расширений файлов, но дальнейшее расследование показало, что это не так. дело», — отметил Половинкин.

Злоумышленники атаковали трейдеров через специализированные онлайн-форумы, сначала вовлекая их в дискуссии, а затем предположительно предлагая документы, в которых предлагались стратегии или советы относительно конкретных проблем или интересов.

«На примере одного из затронутых форумов некоторые администраторы узнали, что на форуме распространяются вредоносные файлы, и впоследствии выдали пользователям предупреждение. Несмотря на это предупреждение, были опубликованы новые публикации, и это затронуло больше пользователей. Наши исследователи также увидели доказательства того, что злоумышленники смогли разблокировать учетные записи, отключенные администраторами форума, и продолжить распространение вредоносных файлов, публикуя сообщения в темах или отправляя личные сообщения», — добавил он.

Неизвестно, сколько денег злоумышленники смогли снять с брокерских счетов жертв и частью какой киберпреступной группировки они являются.

CVE-2023-38831 была исправлена ​​RARLAB в последнем обновлении WinRAR (v6.23) вместе с уязвимостью RCE высокой степени серьезности (CVE-2023-40477).

Если вы являетесь пользователем WinRAR, обновите эту версию вручную как можно скорее. Учитывая всю информацию об уязвимостях, которая была обнародована, другие злоумышленники вскоре могут найти способы воспроизвести исходный эксплойт или даже создать простые в использовании инструменты, которые могут позволить менее технически подкованным киберпреступникам создавать заминированные архивные файлы для использования этой уязвимости. недостаток.