Хакери крадуть кошти з брокерських рахунків, використовуючи помилку "нульового дня" у WinRAR

Про це пише TechCrunch.

Компанія з кібербезпеки Group-IB виявила помилку, яка впливає на обробку формату ZIP-файлу WinRAR, у червні. Помилка нульового дня, тобто було нуль днів, щоб виправити її до того, як її використали, дозволяє хакерам приховувати шкідливі сценарії в архівних файлах під виглядом зображень ".jpg" або файлів ".txt", наприклад, щоб скомпрометувати рахунки.

Group-IB каже, що хакери використовували цю вразливість з квітня для поширення шкідливих ZIP-архівів на щонайменше восьми публічних торгових форумах, які охоплюють широкий спектр тем, пов’язаних з торгівлею, інвестиціями та криптовалютою. В Group-IB відмовилися назвати цільові форуми. Фірма з кібербезпеки повідомляє TechCrunch, що заражені пристрої не менше 130 трейдерів, але зазначає, що "поки що не має відомостей про фінансові втрати".

На одному з форумів адміністратори видали попередження своїм користувачам, коли дізналися про поширення шкідливих файлів. Форум заблокував облікові записи, якими користуються зловмисники, але хакери "змогли розблокувати облікові записи, які були відключені адміністраторами форуму, щоб продовжувати розповсюджувати шкідливі файли, чи то шляхом публікації в ланцюжках, чи то в особистих повідомленнях."

Щойно користувач форуму відкриває файл зі шкідливим програмним забезпеченням, хакери отримують доступ до брокерських облікових записів своїх жертв, що дозволяє їм здійснювати незаконні фінансові операції та виводити кошти.  Одна жертва розповіла Group-IB, що хакери намагалися вивести їхні гроші, але невдало.

Оновлена ​​версія WinRAR (версія 6.23) для розв'язання проблеми була випущена 2 серпня.

Хто стоїть за крадіжками через "помилку нульового дня" WinRAR, невідомо, проте Group-IB заявила, що спостерігала за використанням хакерами DarkMe, трояна VisualBasic, який раніше був пов’язаний з групою загроз Evilnum.

Evilnum — група загроз, яка діє у Великій Британії та Європі принаймні з 2018 року, відома тим, що націлена переважно на фінансові організації та онлайн-торговельні платформи. Group-IB заявила, що хоча ідентифікувала троян DarkMe, вона не може впевнено пов'язати ідентифіковану тоді компанію із сьогоднішніми випадками.

• Хакери КНДР намагалися розвідати інформацію про військові навчання США і Південної Кореї.

• Anonymous активізувала свої кібератаки на Японію з минулого місяця, після того, як Міжнародне агентство з атомної енергії заявило, що заплановане скидання очищеної радіоактивної води зі зруйнованої атомної електростанції Фукусіма буде відповідати світовим стандартам безпеки.