Cyberkriminelle nutzen eine Zero-Day-Schwachstelle in WinRAR, dem ehrwürdigen Shareware-Archivierungstool für Windows, aus, um Händler ins Visier zu nehmen und Gelder zu stehlen.
Das Cybersicherheitsunternehmen Group-IB entdeckte im Juni die Schwachstelle, die die Verarbeitung des ZIP-Dateiformats durch WinRAR beeinträchtigt. Der Zero-Day-Fehler – das bedeutet, dass der Anbieter keine Zeit oder keine Tage hatte, ihn zu beheben, bevor er ausgenutzt wurde – ermöglicht es Hackern, bösartige Skripte in Archivdateien zu verstecken, die sich beispielsweise als „.jpg“-Bilder oder „.txt“-Dateien tarnen , um Zielmaschinen zu kompromittieren.
Laut Group-IB nutzen Hacker diese Sicherheitslücke seit April aus, um bösartige ZIP-Archive in speziellen Handelsforen zu verbreiten. Group-IB teilt Tech mit, dass in mindestens acht öffentlichen Foren bösartige ZIP-Archive veröffentlicht wurden, die „ein breites Spektrum an Handels-, Investitions- und Kryptowährungsthemen abdecken“. Group-IB lehnte es ab, die Zielforen zu nennen.
Im Fall eines der angegriffenen Foren stellten die Administratoren fest, dass schädliche Dateien geteilt wurden, und gaben daraufhin eine Warnung an ihre Benutzer aus. Das Forum unternahm auch Schritte, um die von den Angreifern verwendeten Konten zu sperren, aber Group-IB sah Beweise dafür, dass die Hacker „Konten entsperren konnten, die von Forumsadministratoren deaktiviert wurden, um weiterhin schädliche Dateien zu verbreiten, sei es durch Posts in Threads oder privaten Nachrichten.“ ”
Sobald ein gezielter Forumsbenutzer die mit Schadsoftware versehene Datei öffnet, erhalten die Hacker Zugriff auf die Brokerkonten ihrer Opfer und ermöglichen ihnen laut Group-IB, illegale Finanztransaktionen durchzuführen und Gelder abzuheben. Das Cybersicherheitsunternehmen teilt Tech mit, dass zum Zeitpunkt des Verfassens dieses Artikels die Geräte von mindestens 130 Händlern infiziert seien, weist jedoch darauf hin, dass es „zu diesem Zeitpunkt keine Erkenntnisse über finanzielle Verluste“ habe.
Ein Opfer erzählte den Forschern der Group-IB, dass die Hacker versucht hätten, ihr Geld abzuheben, jedoch ohne Erfolg.
Es ist nicht bekannt, wer hinter der Ausnutzung des WinRAR Zero-Day steckt. Group-IB sagte jedoch, sie habe beobachtet, wie die Hacker DarkMe verwendeten, einen VisualBasic-Trojaner, der zuvor mit der Bedrohungsgruppe „Evilnum“ in Verbindung gebracht wurde.
Evilnum, auch bekannt als „TA4563“, ist eine finanziell motivierte Bedrohungsgruppe, die seit mindestens 2018 in Großbritannien und Europa aktiv ist. Die Gruppe ist dafür bekannt, dass sie hauptsächlich Finanzorganisationen und Online-Handelsplattformen ins Visier nimmt. Group-IB sagte, dass es zwar den DarkMe-Trojaner identifizieren könne, „die identifizierte Kampagne jedoch nicht schlüssig mit dieser finanziell motivierten Gruppe in Verbindung bringen könne“.
Group-IB gibt an, die Schwachstelle gemeldet zu haben, die als CVE-2023-38831 verfolgt wird. an den WinRAR-Hersteller Rarlab. Am 2. August wurde eine aktualisierte Version von WinRAR (Version 6.23) veröffentlicht, um das Problem zu beheben.