В WinRAR обнаружена еще одна уязвимость нулевого дня, получившая идентификатор CVE-2023-38831. По информации Group-IB, проблема активно использовалась злоумышленниками для установки малвари, а для ее эксплуатации достаточно было вынудить жертву открыть безобидный файл из архива (в формате .jpg, .txt и так далее).
Исследователи сообщают, что уязвимость использовалась хакерами с апреля 2023 года, помогая распространять различные семейства вредоносных программ, включая DarkMe, GuLoader и Remcos RAT.
Атаки на уязвимость были замечены специалистами на форумах, посвященным торговле криптовалютами. Там хакеры притворялись энтузиастами, делящимися своими торговыми стратегиями с другими трейдерами, и прикладывали к своим сообщениям ссылки на специально подготовленные архивы WinRAR, которые якобы содержали детальную информацию о торговой стратегии (PDF, текстовые файлы и изображения).
Аналитики считают, что вредоносные архивы распространялись как минимум на восьми открытых трейдерских форумах, и с их помощью были заражены устройства не менее 130 пользователей. При этом общее число жертв этой кампании и их финансовые потери пока неизвестны.
Открывая вредоносный архив, жертвы видели лишь набор безобидных на первый взгляд файлов, включая уже упомянутые PDF, текстовые файлы .txt, а также изображения в форматах .jpg, .png и так далее.
Вредоносный архив
Но если пользователь кликал на такой PDF или картинку, благодаря уязвимости CVE-2023-38831, запускался скрипт для установки малвари. При этом скрипт также загружал и документ-фальшивку, чтобы не вызывать подозрений у пользователя.
Измененный и неизмененный злоумышленниками архив
Общая схема атаки
В итоге скрипт использовался для запуска самораспаковывающегося (SFX) CAB-архива, который заражал компьютер малварью (DarkMe, GuLoader и Remcos RAT), обеспечивая злоумышленникам удаленный доступ к зараженному устройству и позволяя похитить криптовалютные активы жертвы.
В настоящее время проблема уже исправлена в версии WinRAR 6.23, наряду с другой опасной уязвимостью, CVE-2023-40477, о которой мы уже рассказывали ранее на этой неделе.
Исследователи сообщают, что уязвимость использовалась хакерами с апреля 2023 года, помогая распространять различные семейства вредоносных программ, включая DarkMe, GuLoader и Remcos RAT.
Атаки на уязвимость были замечены специалистами на форумах, посвященным торговле криптовалютами. Там хакеры притворялись энтузиастами, делящимися своими торговыми стратегиями с другими трейдерами, и прикладывали к своим сообщениям ссылки на специально подготовленные архивы WinRAR, которые якобы содержали детальную информацию о торговой стратегии (PDF, текстовые файлы и изображения).
Аналитики считают, что вредоносные архивы распространялись как минимум на восьми открытых трейдерских форумах, и с их помощью были заражены устройства не менее 130 пользователей. При этом общее число жертв этой кампании и их финансовые потери пока неизвестны.
Открывая вредоносный архив, жертвы видели лишь набор безобидных на первый взгляд файлов, включая уже упомянутые PDF, текстовые файлы .txt, а также изображения в форматах .jpg, .png и так далее.
Вредоносный архив
Но если пользователь кликал на такой PDF или картинку, благодаря уязвимости CVE-2023-38831, запускался скрипт для установки малвари. При этом скрипт также загружал и документ-фальшивку, чтобы не вызывать подозрений у пользователя.
Измененный и неизмененный злоумышленниками архив
Общая схема атаки
В итоге скрипт использовался для запуска самораспаковывающегося (SFX) CAB-архива, который заражал компьютер малварью (DarkMe, GuLoader и Remcos RAT), обеспечивая злоумышленникам удаленный доступ к зараженному устройству и позволяя похитить криптовалютные активы жертвы.
В настоящее время проблема уже исправлена в версии WinRAR 6.23, наряду с другой опасной уязвимостью, CVE-2023-40477, о которой мы уже рассказывали ранее на этой неделе.
