Все още сте верен фен на WinRar? Трябва да актуализирате софтуера си още сега, особено ако имате криптовалута. Уязвимост от типа "нулев ден" в приложението WinRar дава възможност на атакуващите да проникват в акаунтите за търговия с криптовалути и хакерите активно използват тази уязвимост още от месец април насам. Същата уязвимост може да се използва и за инсталиране на други видове зловреден софтуер в операционната система.

Ето как работи експлойтът за тази уязвимост: Отваряте специално създаденият злонамерен zip файл с програмата WinRAR, която е програмата по подразбиране за всички компресирани файлови формати на вашия компютър (разбира се, ако сте инсталирали WinRar). Въпросният файл е пълен с на пръв поглед невинни документи - PDF файлове, текстови файлове, JPG изображения. Навярно кликвате два пъти върху някой от тях, за да го отворите, но без да знаете, WinRAR е бил използван и за зареждане на скрипт във фонов режим, който инсталира зловреден софтуер, позволяващ на хакерите да присвояват пари от брокерските и банковите сметки.

Както съобщава изданието PCWorld, във версия 6.23 на WinRAR този проблем е отстранен, както и редица други бъгове, като например пропуск, който позволява изпълнението на определени команди при отваряне на някои видове rar файлове. (Т.е. rar файлове, създадени по специфичен начин, за да се експлоатира този бъг.) Актуализацията излезе на 2-ри август и вече е достъпна за всички потребители на WinRAR.

Компанията за киберсигурност Group-IB е открила тази уязвимост (регистрирана като CVE-2023-38831), докато е проследявала разпространението на фамилията зловреден софтуер DarkMe, която и преди е била свързвана с най-различни финансови атаки. Заразените zip файлове, които са били публикувани във форумите за търговия с криптовалути и акции, са съдържали DarkMe и други фамилии зловреден софтуер като GuLoader и Remcos. Последните две фамилии позволяват изтеглянето и инсталирането на повече зловреден софтуер на вашия компютър, като допълнително дават възможност на хакера да изпълнява всякакви команди, да записва натисканията на клавишите, да заснема екрана, да управлява файлове и др.

Към момента на изготвяне на доклада на Group-IB бе потвърдено, че 130 трейдъри са били инфектирани. Zip-файловете са били споделени в поне осем форума, всички под претекст, че помагат на другите да подобрят доходите си. Понастоящем пълният брой на жертвите и размерът на финансовите щети все още не са известни.

Ако не друго, то тази атака чрез WinRAR е поредното напомняне, че с пълна сила важи старият съвет за информационна безопасност - никога да не изтегляте непознати файлове от интернет (още по-малко да ги отваряте). Тази уязвимост може да се разглежда и като допълнителен стимул за преминаване към ОС Windows 11, която скоро нативно ще поддържа компресиращите файлови формати като rar, 7-Zip, gz и още много други, без да се налага инсталирането на какъвто и да било софтуер на трети страни.