Хакеры используют ошибку в WinRAR, чтобы похищать деньги с брокерских счетов

Компания Group-IB обнаружила так называемую уязвимость нулевого дня (недостаток ПО, для которого пока не выпущено исправление или обновление) в знаменитой программе архивирования WinRAR. Она влияет на обработку ZIP-архивов и позволяет киберпреступникам скрывать вредоносные сценарии, маскируя их под изображения или текстовые файлы. Специалисты утверждают, что обнаружили уязвимость в июне, но хакеры начали использовать ее еще с апреля.

Как минимум на восьми специализированных онлайн-площадках, связанных с торговлей на бирже, инвестициями и криптовалютами, злоумышленники распространяют вредоносные ZIP-архивы. Как только пользователь скачивает их и пытается открыть, кибермошенники мгновенно получают доступ к брокерским счетам своих жертв, а с ним – возможность выполнять различные финансовые операции и даже выводить средства.

Некоторые форумы, где появились вредоносные файлы, опубликовали предупреждение для пользователей и заблокировали учетные записи хакеров, но это не помогло. Злоумышленники успешно справились с блокировкой и продолжили размещать опасные архивы в темах и рассылать в личных сообщениях. Поэтому как минимум 130 трейдеров оказались жертвами киберпреступников, но масштабы их финансовых потерь неизвестны. Один из пострадавших рассказал, что хакеры попытались вывести украденные средства, но у них не получилось.

Кто стоит за эксплуатацией уязвимости, неизвестно, но специалисты отмечают, что злоумышленники используют троян DarkMe, который ранее был связан с группой угроз Evilnum. Она действует на территории Европы и Великобритании с 2018 года и нацелена на финансовые организации и площадки для интернет-торговли. Эксперты из Group-IB, обнаружившие уязвимость, сообщили о ней разработчикам WinRAR. В начале августа вышло обновление для программы, в котором была предпринята попытка исправить эту проблему.