Créditos de imagen: TechCrunch / foto de archivo
Los ciberdelincuentes están explotando una vulnerabilidad de día cero en WinRAR, la impresionante herramienta de archivo shareware para Windows, para atacar a los comerciantes y robar fondos.
La vulnerabilidad, que afecta al manejo del formato de archivo ZIP por parte de WinRAR, fue descubierta por la empresa de ciberseguridad Group-IB en junio. Una vulnerabilidad de día cero (lo que significa que el proveedor no tuvo tiempo, o tuvo cero días, para solucionarla antes de que fuera explotada) permite a los piratas informáticos ocultar scripts maliciosos en archivos disfrazados de imágenes «.jpg» o archivos «.txt», por ejemplo. . , para nivelar las máquinas objetivo.
Group-IB dice que los piratas informáticos han estado explotando esta vulnerabilidad desde abril para publicar archivos ZIP maliciosos en foros comerciales especializados. Group-IB le dijo a TechCrunch que los archivos ZIP maliciosos se publicaron en al menos ocho foros públicos, que «cubren una amplia gama de temas relacionados con el comercio, la inversión y las criptomonedas». Group-IB se negó a nombrar los foros específicos.
En el caso de uno de los foros atacados, los administradores se dieron cuenta de que se habían compartido archivos maliciosos y posteriormente emitieron una advertencia a sus usuarios. El foro también ha tomado medidas para prohibir las cuentas utilizadas por los atacantes, pero Group-IB ha visto evidencia de que los piratas informáticos «lograron abrir cuentas que habían sido deshabilitadas por los administradores del foro para continuar propagando archivos maliciosos, ya sea publicando en hilos o mensajes privados».
Una vez que el usuario del foro objetivo abre el archivo que contiene el malware, los piratas informáticos obtienen acceso a las cuentas de corretaje de sus víctimas, lo que les permite realizar transacciones financieras ilegales y retirar fondos, según Group-IB. La firma de ciberseguridad dijo a TechCrunch que los dispositivos de al menos 130 comerciantes estaban infectados al momento de escribir este artículo, pero señaló que «no tiene idea de las pérdidas financieras en este momento».
Una de las víctimas dijo a los investigadores del Grupo IB que los piratas informáticos intentaron retirar su dinero, pero no lo consiguieron.
No se sabe quién está detrás del exploit WinRAR Zero-Day. Sin embargo, Group-IB dijo que había observado a piratas informáticos utilizando DarkMe, un troyano VisualBasic que anteriormente estaba vinculado al grupo de amenazas «Evilnum».
Evilnum, también conocido como «TA4563», es un grupo de amenazas con motivación financiera que ha estado activo en el Reino Unido y Europa desde al menos 2018. Se sabe que el grupo se dirige principalmente a instituciones financieras y plataformas comerciales en línea. Group-IB dijo que, aunque identificó el troyano DarkMe, «no pudo vincular de manera concluyente la campaña identificada con este grupo con motivación financiera».
Group-IB dice que ha informado de la vulnerabilidad, que ha sido rastreada como CVE-2023-38831. al fabricante de WinRAR Rarlab. El 2 de agosto se lanzó una versión actualizada de WinRAR (versión 6.23) para corregir el problema.
