Uhkanäyttelijä hyödyntää WinRARin nollapäivää kohdistaakseen kryptotilejä

Uhkatoimija, jolla on mahdollisesti yhteyksiä Venäjän taloudellisesti motivoituneeseen Evilnum-ryhmään, on suunnattu käyttäjiin online kryptovaluuttakaupan foorumeilla suositun WinRAR-tiedostojen pakkaus- ja arkistointiohjelman nyt korjatun bugin avulla.

Virhe, jota jäljitettiin nimellä CVE-2023-38831, antoi hyökkääjille mahdollisuuden piilottaa haitallista koodia zip-arkistoihin, jotka naamioituivat nimellä ".jpg", ".txt" ja muissa tiedostomuodoissa, ja levittää niitä sitten kryptovaluuttakaupan online-foorumeilla.

Kuukausien mittainen kampanja

Hyökkäykset ovat jatkuneet ainakin huhtikuusta lähtien – noin kolme kuukautta ennen kuin Group-IB:n tutkijat löysivät haavoittuvuuden ja ilmoittivat siitä Rarlabille, WinRAR:ia kehittävälle ja jakelijalle.

Rarlab julkaisi ongelman beta-korjauksen 20. heinäkuuta ja päivitetyn version WinRAR:sta (versio 6.23) 2. elokuuta. Siitä huolimatta ainakin 130 järjestelmää foorumeilla, joilla ihmiset käyvät kauppaa kryptovaluutoilla, on edelleen tartunnan saaneita. Group-IB sanoi raportissaan tällä viikolla. Tietoturvatoimittaja kehotti WinRAR-käyttäjiä – joita tällä hetkellä on arviolta 500 miljoonaa – asentamaan uuden version välittömästi vähentääkseen heidän altistumistaan ​​haavoittuvuuteen kohdistuville hyökkäyksille.

Group-IB:n tutkijat löysivät WinRARin silloisen nollapäivän haavoittuvuuden tutkiessaan uhkatoimintaa, joka liittyy DarkMeen, tietoturvatoimittajan etäkäyttötroijalaiseen. NSFocus löydettiin ensimmäisen kerran viime vuonna ja johtui Evilnumista. Haittaohjelma sisältää useita toimintoja kohteiden vakoilemiseen tai muiden haittaohjelmien lataamiseen. NSFocus havaitsi Evilnum-ryhmän ottavan käyttöön DarkMe:tä hyökkäyksissä, jotka kohdistuivat online-kasinoihin ja kaupankäyntialustoihin useissa maissa.

Group-IB:n löytämä haavoittuvuus johtui siitä, miten WinRAR käsittelee zip-tiedostomuotoa. Se pohjimmiltaan antoi hyökkääjille tavan piilottaa erilaisia ​​haittaohjelmatyökaluja zip-arkistoon ja jakaa ne kohdejärjestelmiin. Group-IB:n tutkijat havaitsivat, että uhkatekijä toimittaa ainakin kolme haittaohjelmaperhettä tällä tavalla: DarkMe, GuLoaderja Remcos RAT.

Uhkatoimija jakoi sitten aseistetut zip-arkistot vähintään kahdeksalle julkiselle foorumille, joita verkkokauppiaat käyttävät säännöllisesti tietojen jakamiseen ja molempia kiinnostavista aiheista keskustelemiseen.

Aseistetut Zip-arkistot

Useimmissa tapauksissa vastustaja liitti haittaohjelmilla ladatun zip-arkiston keskustelupalstan viestiin tai yksityisviesteissä muille foorumin jäsenille. Viestien aiheena oli tapana herättää foorumin jäsenen huomio. Esimerkiksi yhdessä viestissä uhkatekijä väitti tarjoavansa parhaan henkilökohtaisen strategiansa bitcoin-kaupankäyntiin ja liitti haitallisen zip-arkiston kyseiseen viestiin. Group-IB kertoo myös havainneensa uhkatoimijan pääsyn foorumitileille ja lisäävän haittaohjelmansa olemassa oleviin keskusteluketjuihin.

Muutamissa tapauksissa hyökkääjä jakoi zip-arkistot ilmaisen tiedostojen tallennuspalvelun kautta nimeltä catbox.moe.

Kun haittaohjelma oli asennettu järjestelmään, se pääsi uhrin kaupankäyntitileille ja suoritti luvattomia tapahtumia varojen nostamiseksi siitä.

Muutaman kerran foorumin ylläpitäjät huomasivat haitallisia tiedostoja, joita jaettiin heidän sivustojensa kautta, ja yrittivät varoittaa jäseniä uhasta. Näistä varoituksista huolimatta uhkatekijä jatkoi haitallisten liitteiden julkaisemista foorumissa. "Tutkijamme näkivät myös todisteita siitä, että uhkatoimijat pystyivät poistamaan eston tilien, jotka foorumin ylläpitäjät olivat poistaneet käytöstä jatkaakseen haitallisten tiedostojen levittämistä, joko lähettämällä uhkauksia tai lähettämällä yksityisviestejä", Group-IB sanoi.

Tietoturvatoimittajan mukaan DarkMe-troijalainen ehdottaa, että Evilnum liittyy kampanjaan, mutta Group-IB ei itse ole pystynyt liittämään WinRAR-hyökkäyksiä lopullisesti uhkaryhmään.

• SEO-pohjainen sisällön ja PR-jakelu. Vahvista jo tänään.
• PlatoData.Network Vertical Generatiivinen Ai. Vahvista itseäsi. Pääsy tästä.
• PlatoAiStream. Web3 Intelligence. Tietoa laajennettu. Pääsy tästä.
• PlatoESG. Autot / sähköautot, hiili, CleanTech, energia, ympäristö, Aurinko, Jätehuolto. Pääsy tästä.
• PlatonHealth. Biotekniikan ja kliinisten kokeiden älykkyys. Pääsy tästä.
• ChartPrime. Nosta kaupankäyntipeliäsi ChartPrimen avulla. Pääsy tästä.
• BlockOffsets. Ympäristövastuun omistuksen nykyaikaistaminen. Pääsy tästä.
• Lähde: https://www.darkreading.com/attacks-breaches/threat-actor-exploits-zero-day-in-winrar-to-target-crypto-accounts