Siber suçlular, tüccarları hedef almak ve fonları çalmak için Windows’un saygın paylaşımlı yazılım arşivleme aracı WinRAR’daki sıfır gün güvenlik açığından yararlanıyor.
Siber güvenlik şirketi Group-IB, ZIP dosya formatının WinRAR tarafından işlenmesini etkileyen güvenlik açığını Haziran ayında keşfetti. Sıfır gün kusuru (satıcının istismar edilmeden önce sorunu düzeltmek için zamanı veya sıfır günü olmadığı anlamına gelir), bilgisayar korsanlarının arşiv dosyalarındaki kötü amaçlı komut dosyalarını örneğin “.jpg” görüntüleri veya “.txt” dosyaları gibi görünerek gizlemesine olanak tanır. , hedef makineleri tehlikeye atmak için.
Group-IB, bilgisayar korsanlarının Nisan ayından beri bu güvenlik açığından yararlanarak kötü amaçlı ZIP arşivlerini uzman ticaret forumlarına yaydığını söylüyor. Group-IB, TechCrunch’a kötü amaçlı ZIP arşivlerinin “çok çeşitli ticaret, yatırım ve kripto para birimiyle ilgili konuları kapsayan” en az sekiz halka açık forumda yayınlandığını söyledi. Grup-IB hedeflenen forumların isimlerini vermeyi reddetti.
Hedeflenen forumlardan birinde yöneticiler, kötü amaçlı dosyaların paylaşıldığının farkına vardı ve ardından kullanıcılarına bir uyarı yayınladı. Forum ayrıca saldırganlar tarafından kullanılan hesapları engellemek için de adımlar attı, ancak Group-IB, bilgisayar korsanlarının “ister başlıklar halinde ister özel mesaj göndererek kötü amaçlı dosyaları yaymaya devam etmek için forum yöneticileri tarafından devre dışı bırakılan hesapların kilidini açabildiklerini” gösteren kanıtlar gördü. ”
Group-IB’ye göre, hedeflenen bir forum kullanıcısı kötü amaçlı yazılım içeren dosyayı açtığında, bilgisayar korsanları kurbanlarının aracılık hesaplarına erişerek yasa dışı finansal işlemler gerçekleştirmelerine ve para çekmelerine olanak tanıyor. Siber güvenlik firması TechCrunch’a, bu yazının yazıldığı sırada en az 130 yatırımcının cihazının virüs bulaştığını söyledi ancak “şu aşamada mali kayıplara ilişkin hiçbir öngörüye sahip olmadıklarını” belirtti.
Kurbanlardan biri Grup-IB araştırmacılarına, bilgisayar korsanlarının paralarını çekmeye çalıştıklarını ancak başarısız olduklarını söyledi.
WinRAR sıfır gününün istismarının arkasında kimin olduğu bilinmiyor. Ancak Group-IB, bilgisayar korsanlarının daha önce “Evilnum” tehdit grubuyla bağlantılı olan bir VisualBasic truva atı olan DarkMe’yi kullandığını gözlemlediğini söyledi.
“TA4563” olarak da bilinen Evilnum, İngiltere ve Avrupa’da en az 2018’den beri faaliyet gösteren, finansal motivasyona sahip bir tehdit grubudur. Grubun esas olarak finansal kuruluşları ve çevrimiçi ticaret platformlarını hedef almasıyla biliniyor. Group-IB, DarkMe truva atını tanımlarken “belirlenen kampanyayı finansal motivasyona sahip bu grupla kesin olarak ilişkilendiremeyeceğini” söyledi.
Group-IB, CVE-2023-38831 olarak takip edilen güvenlik açığını bildirdiğini açıkladı. WinRAR yapımcısı Rarlab’a. Sorunu düzeltmek için WinRAR’ın güncellenmiş bir sürümü (sürüm 6.23) 2 Ağustos’ta yayımlandı.