banner
Casa / Blog / Gli aggressori hanno sfruttato WinRAR zero
Blog

Gli aggressori hanno sfruttato WinRAR zero

Jun 03, 2023Jun 03, 2023

Gli aggressori motivati ​​​​finanziariamente hanno sfruttato una vulnerabilità zero-day in WinRAR (CVE-2023-38831) per indurre i trader a installare malware che consentirebbe loro di rubare denaro dai conti dei broker.

"Questa vulnerabilità è stata sfruttata dall'aprile 2023", afferma Andrey Polovinkin, analista di malware di Group-IB. Durante questa campagna i dispositivi di almeno 130 trader (e probabilmente di più) sono stati infettati da malware.

CVE-2023-38831 è una vulnerabilità di spoofing delle estensioni dei file, che ha consentito agli aggressori di creare un archivio RAR o ZIP modificato contenente file innocui e dannosi (script situati in una cartella con lo stesso nome del file innocuo).

“Tutti gli archivi che abbiamo identificato sono stati creati utilizzando lo stesso metodo. Inoltre avevano tutti una struttura simile, composta da un file esca e una cartella contenente un mix di file dannosi e inutilizzati. Se l'utente apre il file esca, che appare come .txt, .jpg. o un'altra estensione di file in WinRAR, viene invece eseguito uno script dannoso", ha spiegato Polovinkin.

Anche il file esca viene aperto per completare l'illusione, ma in background vengono installati silenziosamente i malware DarkMe, GuLoader e/o Remcos RAT, consentendo così agli aggressori di accedere in remoto al computer della vittima.

Gli analisti delle minacce di Group-IB hanno scoperto che CVE-2023-38831 veniva sfruttato per diffondere il malware DarkMe all'inizio di luglio 2023.

"Inizialmente, la nostra ricerca ci ha portato a credere che si trattasse di un'evoluzione nota di una vulnerabilità precedentemente scoperta dal ricercatore di sicurezza Danor Cohen nel 2014. È stato osservato un metodo per modificare l'intestazione ZIP per falsificare le estensioni dei file, ma ulteriori indagini hanno rivelato che questo non era il caso”, ha osservato Polovinkin.

Gli autori delle minacce hanno preso di mira i trader tramite forum online specializzati, prima coinvolgendoli in discussioni e poi presumibilmente offrendo documenti che offrivano strategie o consigli su problemi o interessi specifici.

"Prendendo come esempio uno dei forum interessati, alcuni amministratori si sono accorti che sul forum venivano condivisi file dannosi e hanno successivamente avvisato gli utenti. Nonostante questo avvertimento, sono stati pubblicati ulteriori post e sono stati colpiti più utenti. I nostri ricercatori hanno anche riscontrato prove che gli autori delle minacce sono stati in grado di sbloccare gli account disabilitati dagli amministratori del forum per continuare a diffondere file dannosi, sia pubblicando nei thread che inviando messaggi privati", ha aggiunto.

Non è noto quanti soldi gli autori delle minacce siano riusciti a prelevare dai conti dei broker delle vittime, né di quale gruppo di criminali informatici facciano parte.

CVE-2023-38831 è stato corretto da RARLAB nell'ultimo aggiornamento WinRAR (v6.23), insieme a una vulnerabilità RCE di elevata gravità (CVE-2023-40477).

Se sei un utente WinRAR, aggiorna manualmente questa versione il prima possibile. Con tutte le informazioni sulla vulnerabilità che sono state rese pubbliche, altri aggressori potrebbero presto trovare il modo di replicare l'exploit originale o addirittura creare strumenti facili da usare che potrebbero consentire ai criminali informatici meno esperti di tecnologia di creare file di archivio contenenti trappole esplosive per sfruttare questa vulnerabilità. difetto.