Una vulnerabilità zero-day appena scoperta nel popolare programma di compressione file WinRAR è stata sfruttata da hacker non identificati per ben quattro mesi. Gli aggressori hanno sfruttato questa falla per installare malware sui sistemi delle vittime quando file apparentemente innocui, come immagini JPG e file TXT, vengono aperti da archivi di file.
I ricercatori di sicurezza del Group IB hanno scoperto che questa vulnerabilità, che risiede nel modo in cui WinRAR elabora i formati di file ZIP, è stata attivamente sfruttata da aprile. Gli aggressori hanno ingegnosamente utilizzato questa debolezza per eseguire codice da remoto, distribuendo malware come DarkMe, GuLoader e Remcos RAT. Questi programmi maligni consentono ai criminali informatici di ottenere un accesso non autorizzato ai sistemi delle vittime e di sottrarre successivamente fondi dai conti dei broker.
L'entità delle perdite finanziarie e il numero totale di vittime colpite non sono ancora del tutto quantificati. Tuttavia, Group-IB ha rintracciato almeno 130 persone compromesse. La vulnerabilità, denominata CVE-2023-38831, è stata recentemente patchata dagli sviluppatori di WinRAR nell'aggiornamento della versione 6.23.
"Sfruttando una vulnerabilità all'interno di questo programma, gli attori delle minacce sono stati in grado di creare archivi ZIP che fungono da vettori per varie famiglie di malware", ha scritto Andrey Polovinkin, analista malware di Group-IB. "Gli archivi ZIP armati sono stati distribuiti sui forum di trading. Una volta estratto ed eseguito, il malware consente agli attori delle minacce di prelevare denaro dai conti dei broker. Questa vulnerabilità è stata sfruttata dall'aprile 2023".
Sebbene l'attacco sembri concentrato all'interno dei forum di trading, si profila la possibilità che gli aggressori si spostino su altre piattaforme o distribuiscano diverse famiglie di malware. In effetti, i precedenti storici suggeriscono che ciò è plausibile. Nel 2019, un'altra vulnerabilità di WinRAR (CVE-2018-20250) ha attirato attacchi attivi a poche settimane dalla divulgazione, dando vita a molteplici campagne.
WinRAR, che vanta oltre 500 milioni di utenti a livello globale, è uno strumento essenziale per comprimere e gestire file di grandi dimensioni. Spesso gli utenti estraggono i file ZIP senza un'ispezione approfondita, esponendosi a potenziali minacce. Inoltre, il software antivirus fatica a scansionare efficacemente i dati compressi, rendendo questi attacchi ancora più potenti.
Gli archivi ZIP malevoli scovati da Group-IB sono stati rilevati su forum di trading pubblici in cui i membri discutono di criptovalute e titoli azionari. I criminali informatici hanno allegato questi archivi ai post del forum o li hanno distribuiti tramite siti di archiviazione di file. Otto importanti forum di trading sono stati identificati come canali di diffusione di questi file dannosi.
Nonostante gli avvertimenti degli amministratori del forum, gli aggressori hanno perseverato nei loro sforzi, aggirando i divieti e disabilitando gli account. Un partecipante al forum ha segnalato l'accesso non autorizzato a un conto di un broker e, sebbene un tentativo di prelievo sia stato sventato, il motivo alla base di questa azione rimane poco chiaro.
Andrey Polovinkin ha fatto luce sul modus operandi degli aggressori, spiegando: "I criminali informatici sfruttano una vulnerabilità che consente loro di falsificare le estensioni dei file, il che significa che sono in grado di nascondere il lancio di codice dannoso all'interno di un archivio mascherato da '.jpg', '.txt' o qualsiasi altro formato di file".
Con questa vulnerabilità critica ora esposta, gli esperti invitano gli utenti di WinRAR ad aggiornare immediatamente alla versione più recente (6.23). In caso contrario, i sistemi potrebbero essere esposti ad attacchi dannosi che potrebbero causare perdite finanziarie e violazioni dei dati. Rimanete vigili e aggiornate il vostro software per ridurre i rischi associati a queste minacce informatiche in continua evoluzione.