Hackeri našli slabinu v známej aplikácii, ktorú používa 500 miliónov ľudí. Sú schopní cez ňu vybieliť vám účet
V jednom z najpopulárnejších komprimovacích softvérov, WinRAR, sa nachádza slabina, cez ktorú hackeri napádajú obete. Cez slabinu dokážu vám vybieliť bankový účet!
WinRAR je jedným z najpopulárnejších programov na komprimovanie súborov a používa ho globálne približne 500-miliónov užívateľov.
Či už ho aktívne požívate alebo nie, pravdepodobne ste sa aspoň raz za život s týmto programom stretli. Využívať ho môžu však aj kyberzločinci, napríklad na zabalenie malvéru do prílohy e-mailu, ktorú si obeť otvorí práve cez WinRAR. Bezpečnostní experti z Group-IB si začiatkom júla všimli bezpečnostnú medzeru, ktorá existuje v spôsobe akým WinRAR spracúva formát súborov ZIP. Kyberzločinci teda dokázali vytvoriť komprimovaný ZIP archív, v ktorom sa mohli nachádzať rozličné druhy malvéru.
WinRAR 0day CVE-2023-38831
If you are using WinRAR, please make sure to update it.https://t.co/JCp8ahNBQ6 pic.twitter.com/yEAkxd4Mti— blackorbird (@blackorbird) August 23, 2023
Tieto infikované súbory sa šírili hlavne na obchodných fórach. Keď si obeť tento nebezpečný súbor stiahla, cez útok sa mohli zločinci dostať k účtu obchodníka a vytiahnuť z neho peniaze. Predpokladá sa, že hackeri zneužívajú túto slabinu už od apríla 2023. Bezpečnostní experti sa hneď spojili so spoločnosťou RARAB a začali pracovať na oprave.
V rámci nových monitorovaní sa bezpečnostní experti zamerali na malvéry z rodiny DarkMe. Popri tom si všimli anomáliu v správaní zabalených súborov, cez ktoré hackeri šírili vírus ďalej. Tu si experti všimli aj to, že infikované súbory sú cielené primárne na obchodníkov. Hackeri tieto súbory umiestňovali na rozličné verejné fóra, kde si obchodníci častokrát vymieňajú užitočné rady.
Neprehliadnite
Útok na obchodníkov
Typicky sa infikovaný ZIP súbor nachádza vložený v príspevku. Tento príspevok má v obeti vzbudiť dojem, že ide o skutočne legitímny príspevok. Útočníci v ňom napríklad môžu pýtať radu. Tento typ útoku bol rýchlo odhalený. Administrátori fóra varovali užívateľov pred škodlivými súbormi, no ani to nezabránilo útočníkom šíriť škodlivé súbory. V niektorých prípadoch hackeri vytvárali stále nové príspevky, v inom prípade posielali súbor cez súkromnú správu.
Keď sa infikovaný ZIP súbor dostal do počítača obete, doručil malvér, ktorý napadol zariadenie. Škodlivý softvér podľa výpovede jedného z poškodených dokázal získať prístup k jeho obchodným účtom. Cez ne dokázali hackeri previesť peniaze na svoj účet. Bezpečnostní experti ale zatiaľ nevedia povedať, či sú infikované súbory a hacknutie účtu spojené, no je to viac než pravdepodobné. Útočníkom sa v tomto prípade nepodarilo vybieliť účet obete. Vykonali len niekoľko transakcií, ktoré však obeť stáli len pár dolárov.
V zabalenom ZIP súbore sa nachádza niekoľko súborov, pričom závisí na tom, akým podvodom sa hackeri pokúšali dostať do zariadenia obete infikovaný súbor. Keď si však obeť stiahne ZIP archív a otvorí si ho vo WinRAR, uvidí jeden falošný textový súbor alebo obrázok spolu s niekoľkými ďalšími súbormi. Po kliknutí na obrázok sa namiesto otvorenia spúšťa škodlivý kód a do zariadenia sa inštaluje vírus. V skutočnosti nejde o obrázok, ale o program schopný maskovať sa inou príponou.
Útočníci využívajú doteraz neznámu slabinu WinRAR programu. V tomto prípade sa odporúča, aby užívatelia dodržiavali zásady bezpečnosti na internete, hlavne teda aby nesťahovali a neotvárali podozrivé súbory, ktoré prišli z neznámeho zdroja.
Komentáre