黑客正在利用 WinRAR 零日漏洞从经纪商账户窃取资金

图片来源： TechCrunch / 档案照片

网络犯罪分子正在利用 WinRAR（令人惊叹的 Windows 共享软件归档工具）中的零日漏洞来瞄准交易者并窃取资金。

该漏洞影响 WinRAR 对 ZIP 文件格式的处理，由网络安全公司 Group-IB 在 6 月份发现。 例如，零日漏洞（意味着供应商没有时间或零日漏洞在被利用之前修复它）允许黑客将恶意脚本隐藏在伪装成“.jpg”图像或“.txt”文件的存档文件中。 ，调平目标机器。

Group-IB 表示，自 4 月份以来，黑客一直在利用此漏洞在专门的交易论坛上发布恶意 ZIP 档案。 Group-IB 告诉 TechCrunch，恶意 ZIP 档案已发布到至少八个公共论坛，这些论坛“涵盖了与交易、投资和加密货币相关的广泛主题”。 Group-IB 拒绝透露目标论坛的名称。

在其中一个目标论坛中，管理员意识到已共享的恶意文件，随后向用户发出警告。 该论坛还采取措施禁止攻击者使用的帐户，但 Group-IB 发现有证据表明黑客“设法打开已被论坛管理员禁用的帐户，以继续传播恶意文件，无论是通过帖子还是私人消息”。

Group-IB 表示，一旦目标论坛用户打开包含恶意软件的文件，黑客就可以访问受害者的经纪账户，使他们能够进行非法金融交易并提取资金。 这家网络安全公司告诉 TechCrunch，截至撰写本文时，至少有 130 名交易员的设备受到感染，但指出“目前还不知道造成的财务损失”。

一名受害者告诉 Group-IB 研究人员，黑客试图提取资金，但没有成功。

目前尚不清楚谁是 WinRAR 零日漏洞的幕后黑手。 然而，Group-IB 表示，它观察到黑客使用 DarkMe，这是一种 VisualBasic 木马，之前与“Evilnum”威胁组织有联系。

Evilnum，也称为“TA4563”，是一个出于经济动机的威胁组织，至少自 2018 年以来一直活跃在英国和欧洲。 据了解，该团伙主要针对金融机构和网络交易平台。 Group-IB 表示，虽然识别了 DarkMe 木马，但“无法最终将所识别的活动与这个出于经济动机的组织联系起来”。

Group-IB 表示已报告该漏洞，该漏洞的编号为 CVE-2023-38831。 到 WinRAR Rarlab 制作者。 8 月 2 日发布了 WinRAR 的更新版本（版本 6.23）来纠正该问题。