Киберпрестъпници използват уязвимост в широко използвания архиватор WinRAR, за да крадат средства от брокерски сметки, алармираха експерти от компанията за сигурност Group-IB.
Уязвимостта позволява на атакуващите да скрият злонамерени скриптове в архиви, маскирайки ги като привидно невинни JPG и TXT файлове. Инцидентите продължават, въпреки, че информацията за уязвимостта вече е публикувана и разработчикът на WinRAR пусна актуализирана версия на програмата, която отстранява проблема.
Хакерите се възползват от този бъг на архиватора поне от април тази година, като публикуват злонамерени файлове в специализирани форуми за търговия. Експертите от Group-IB са открили такива архиви на осем сайта, посветени на борсова търговия, инвестиции и криптовалути.
В един от случаите администраторите на форума разбират за инцидента, изтриват файловете и блокират потребителите, които ги разпространяват. Но киберпрестъпниците са намерили възможност да премахнат блокирането и да продължат да разпространяват зловредния софтуер.
Когато жертва отвори такъв файл, хакерите получават достъп до нейните брокерски акаунти, чрез които извършват незаконни финансови транзакции и крадат средства. Към днешна дата е установено, че компютрите на най-малко 130 търговци са били заразени, но е невъзможно да се оцени размерът на финансовите загуби на този етап.
Все още няма надеждни данни за организаторите на атаката. Известно е само, че хакерите са използвали троянския кон VisualBasic DarkMe, който преди беше свързан с групата Evilnum, позната още като TA4563. Тя работи поне от 2018 г. в Европа и Обединеното кралство, като атакува финансови институции и платформи за онлайн търговия.