图片来源: TechCrunch / 档案照片
网络犯罪分子正在利用 WinRAR(令人惊叹的 Windows 共享软件归档工具)中的零日漏洞来瞄准交易者并窃取资金。
该漏洞影响 WinRAR 对 ZIP 文件格式的处理,由网络安全公司 Group-IB 在 6 月份发现。 例如,零日漏洞(意味着供应商没有时间或零日漏洞在被利用之前修复它)允许黑客将恶意脚本隐藏在伪装成“.jpg”图像或“.txt”文件的存档文件中。 ,调平目标机器。
Group-IB 表示,自 4 月份以来,黑客一直在利用此漏洞在专门的交易论坛上发布恶意 ZIP 档案。 Group-IB 告诉 TechCrunch,恶意 ZIP 档案已发布到至少八个公共论坛,这些论坛“涵盖了与交易、投资和加密货币相关的广泛主题”。 Group-IB 拒绝透露目标论坛的名称。
在其中一个目标论坛中,管理员意识到已共享的恶意文件,随后向用户发出警告。 该论坛还采取措施禁止攻击者使用的帐户,但 Group-IB 发现有证据表明黑客“设法打开已被论坛管理员禁用的帐户,以继续传播恶意文件,无论是通过帖子还是私人消息”。
Group-IB 表示,一旦目标论坛用户打开包含恶意软件的文件,黑客就可以访问受害者的经纪账户,使他们能够进行非法金融交易并提取资金。 这家网络安全公司告诉 TechCrunch,截至撰写本文时,至少有 130 名交易员的设备受到感染,但指出“目前还不知道造成的财务损失”。
一名受害者告诉 Group-IB 研究人员,黑客试图提取资金,但没有成功。
目前尚不清楚谁是 WinRAR 零日漏洞的幕后黑手。 然而,Group-IB 表示,它观察到黑客使用 DarkMe,这是一种 VisualBasic 木马,之前与“Evilnum”威胁组织有联系。
Evilnum,也称为“TA4563”,是一个出于经济动机的威胁组织,至少自 2018 年以来一直活跃在英国和欧洲。 据了解,该团伙主要针对金融机构和网络交易平台。 Group-IB 表示,虽然识别了 DarkMe 木马,但“无法最终将所识别的活动与这个出于经济动机的组织联系起来”。
Group-IB 表示已报告该漏洞,该漏洞的编号为 CVE-2023-38831。 到 WinRAR Rarlab 制作者。 8 月 2 日发布了 WinRAR 的更新版本(版本 6.23)来纠正该问题。
More Stories
《东京恶习》制片人详述日本走向全球制作中心之路
康拉德·科尔曼仅使用可再生能源再次改变了世界
新款 MacBook Pro 为苹果一周的重大新闻画上了句号