A WinRaR segítségével fertőzhettek meg támadók számítógépeket
A WinRAR népszerű fájltömörítő mögött álló fejlesztői csapat nemrégiben kiadott egy javítást, amivel felszámoltak egy úgynevezett nulladik napi sebezhetőséget. A sebezhetőség lehetővé tette hackerek számára, hogy ártó szándékú szoftvereket telepítsenek az áldozatok számítógépére. Utána pedig ezen keresztül el tudták lopni a kriptojukat vagy egyéb pénzeszközeiket.
Nem lehetett nagy elterjedése még a WinRaR sebezhetőségének
Augusztus 23-án, a szingapúri Group-IB kiberbiztonsági cég jelentette először a hibát a WinRAR ZIP fájl feldolgozási kódrészében. A CVE-2023-38831 néven futó sebezhetőséget közel négy hónapon át használták ki. A hackerek akkor tudták feltelepíteni a rosszindulatú szoftvert, amikor az áldozat rákattintott egy fájlra egy tömörített állományban. 2023. áprilisától kezdve használták ki a hibát, amelyhez specifikus RAR és ZIP állományokat terjesztettek kereskedési fórumokon. A fájlok neve például az volt, hogy a „legjobb kereskedési stratégia bitcoinhoz” és hasonlók. A tömörített állományban pedig ártatlannak tűnő JPG-k voltak vagyTXT-k.
A Group-IB jelentése szerint legalább 8 nyilvános fórumon jelentek meg ilyen fájlok és legalább 130 gépet sikerült is megfertőzni. Tényleges pénzügyi károkról nincs információ. Amint valaki letöltötte a fórumból a fájlt és megnyitotta az állományt, az azonnal telepített a számítógépre DarkMe, GuLoader vagy éppen Remcos RAT nevű malware szoftvereket. A DarkMe specifikusan ismert már korábbról kriptosok elleni támadásokból. Aki belefutott a támadásba, annak a gépére a támadók már távolról be tudtak lépni. A WINRaR mögött álló RARLABS végül augusztus 2-án, a 6.23-as verzióban javította ki a sebezhetőséget.