Los piratas informáticos aprovechan el error de día cero de WinRAR para robar fondos de las cuentas de los corredores

Créditos de imagen: TechCrunch / foto de archivo

Los ciberdelincuentes están explotando una vulnerabilidad de día cero en WinRAR, la venerable herramienta de archivo shareware para Windows, para atacar a los comerciantes y robar fondos.

La empresa de ciberseguridad Group-IB descubrió en junio la vulnerabilidad que afecta al procesamiento del formato de archivo ZIP por parte de WinRAR. La falla de día cero (lo que significa que el proveedor no tuvo tiempo, o incluso cero días, para arreglarla antes de que fuera explotada) permite a los piratas informáticos ocultar scripts maliciosos en archivos comprimidos disfrazados de imágenes “.jpg” o archivos “.txt”. Por ejemplo. , para comprometer las máquinas objetivo.

Group-IB afirma que los piratas informáticos han estado aprovechando esta vulnerabilidad desde abril para difundir archivos ZIP maliciosos en foros comerciales especializados. Group-IB dijo a TechCrunch que se han publicado archivos ZIP maliciosos en al menos ocho foros públicos, que «cubren una amplia gama de temas relacionados con el comercio, la inversión y las criptomonedas». Group-IB se negó a nombrar los foros específicos.

En el caso de uno de los foros atacados, los administradores se dieron cuenta de que se estaban compartiendo archivos maliciosos y luego advirtieron a sus usuarios. El foro también tomó medidas para bloquear las cuentas utilizadas por los atacantes, pero Group-IB descubrió que los atacantes «podían desbloquear cuentas deshabilitadas por los administradores del foro para continuar propagando archivos maliciosos, ya sea publicándolos en hilos de discusión o mensajes privados». »

Una vez que un usuario del foro abre el archivo que contiene malware, los piratas informáticos obtienen acceso a las cuentas de corretaje de sus víctimas, lo que les permite realizar transacciones financieras ilícitas y retirar fondos, según Group-IB. La firma de ciberseguridad le dice a TechCrunch que los dispositivos de al menos 130 comerciantes están infectados en el momento de escribir este artículo, pero señala que «no tiene idea de las pérdidas financieras en este momento».

Una víctima dijo a los investigadores del Grupo IB que los piratas informáticos intentaron retirar su dinero, pero no lo consiguieron.

Se desconoce quién está detrás de la explotación de día cero de WinRAR. Sin embargo, Group-IB dijo que observó a piratas informáticos utilizando DarkMe, un troyano VisualBasic previamente vinculado al grupo de amenazas «Evilnum».

Evilnum, également connu sous le nom de « TA4563 », est un groupe de menace à motivation financière qui est actif au Royaume-Uni et en Europe depuis au moins 2018. Le groupe est connu pour cibler principalement les organisations financières et les plateformes de trading en línea. Group-IB dijo que si bien identifica el troyano DarkMe, «no puede vincular de manera concluyente la campaña identificada con este grupo con motivación financiera».

Group-IB dice que ha informado de la vulnerabilidad, identificada como CVE-2023-38831, al creador de WinRAR, Rarlab. El 2 de agosto se lanzó una versión actualizada de WinRAR (versión 6.23) para corregir el problema.