Los piratas informáticos aprovechan el error de día cero de WinRAR para robar fondos de cuentas de corretaje
Créditos de la imagen: TechCrunch / archivo de fotos
Los ciberdelincuentes están explotando una vulnerabilidad de día cero en WinRAR, la venerable herramienta de archivo shareware para Windows, para atacar a comerciantes y robar fondos.
La empresa de ciberseguridad Group-IB descubrió la vulnerabilidad, que afecta el procesamiento del formato de archivo ZIP por parte de WinRAR, en junio. La falla de día cero (lo que significa que el proveedor no tuvo tiempo o días para parchearla antes de que fuera explotada) permite a los piratas informáticos ocultar scripts maliciosos en archivos comprimidos disfrazados de imágenes “.jpg” o archivos “.txt”. , por ejemplo, para comprometer las máquinas de destino.
Group-IB afirma que los piratas informáticos han estado aprovechando esta vulnerabilidad desde abril para difundir archivos ZIP maliciosos en foros comerciales especializados. Group-IB dijo a TechCrunch que se publicaron archivos ZIP maliciosos en al menos ocho foros públicos, que «cubren una amplia gama de asuntos relacionados con el comercio, la inversión y las criptomonedas». Grupo-IB se negó a nombrar los foros de destino.
En el caso de uno de los foros atacados, los administradores se dieron cuenta de que se compartían archivos maliciosos y posteriormente emitieron una advertencia a sus usuarios. El foro también tomó medidas para bloquear las cuentas utilizadas por los atacantes, pero IB-Group vio evidencia de que los piratas informáticos fueron «capaces de desbloquear cuentas que fueron desactivadas por los administradores del foro para continuar difundiendo archivos maliciosos, ya sea publicando en hilos o mensajes privados. ”
Una vez que un usuario del foro abre el archivo que contiene malware, los piratas informáticos obtienen acceso a las cuentas de corretaje de sus víctimas, lo que les permite realizar transacciones financieras ilícitas y retirar fondos, según Group-IB. La firma de ciberseguridad le dijo a TechCrunch que al menos 130 dispositivos de comerciantes están infectados en el momento de escribir este artículo, pero señala que «no tiene ninguna idea de las pérdidas financieras en este momento».
Una víctima dijo a los investigadores del Grupo-IB que los piratas informáticos intentaron retirar su dinero pero no lo consiguieron.
Se desconoce quién está detrás del exploit de día cero de WinRAR. Sin embargo, Group-IB dijo que había observado a piratas informáticos utilizando DarkMe, un troyano de VisualBasic que anteriormente se había vinculado al grupo de amenazas “Evilnum”.
Evilnum, también conocido como “TA4563”, es un grupo de amenazas con motivación financiera que ha estado activo en el Reino Unido y Europa desde al menos 2018. Se sabe que el grupo apunta principalmente a organizaciones financieras y plataformas comerciales en línea. Group-IB dijo que si bien identifica el troyano DarkMe, «no puede vincular de manera concluyente la campaña identificada con este grupo con motivación financiera».
Grupo-IB afirma haber informado de la vulnerabilidad, rastreada como CVE-2023-38831, para el fabricante de WinRAR, Rarlab. El 2 de agosto se lanzó una versión actualizada de WinRAR (versión 6.23) para solucionar el problema.
