Компания по кибербезопасности Group-IB обнаружила ошибку, влияющую на обработку формата ZIP-файла WinRAR в июне. Ошибка нулевого дня, то есть было нуль дней, чтобы исправить ее до того, как ее использовали, позволяет хакерам скрывать вредоносные сценарии в архивных файлах под видом изображений «.jpg» или «.txt», например, чтобы скомпрометировать счета.
Group-IB говорит, что хакеры использовали эту уязвимость с апреля для распространения вредоносных ZIP-архивов на, по меньшей мере, восьми публичных торговых форумах, охватывающих широкий спектр тем, связанных с торговлей, инвестициями и криптовалютой. В Group-IB отказались назвать целевые форумы. Фирма по кибербезопасности сообщает TechCrunch, что зараженные устройства не менее 130 трейдеров, но отмечает, что «пока нет сведений о финансовых потерях».
На одном из форумов администраторы выдали предупреждения своим пользователям, когда узнали о распространении вредоносных файлов. Форум заблокировал учетные записи, которыми пользуются злоумышленники, но хакеры «смогли разблокировать учетные записи, которые были отключены администраторами форума, чтобы продолжать распространять вредоносные файлы, то ли путем публикации в цепочках, то ли в личных сообщениях.»
Как только пользователь форума открывает файл с вредоносным программным обеспечением, хакеры получают доступ к брокерским аккаунтам своих жертв, что позволяет им совершать незаконные финансовые операции и выводить средства. Одна жертва рассказала Group-IB, что хакеры пытались вывести их деньги, но неудачно.
Обновленная версия WinRAR (версия 6.23) для решения проблемы была выпущена 2 августа.
Кто стоит за кражами из-за «ошибки нулевого дня» WinRAR, неизвестно, однако Group-IB заявила, что наблюдала за использованием хакерами DarkMe, трояна VisualBasic, ранее связанного с группой угроз Evilnum.
Evilnum — группа угроз, действующая в Великобритании и Европе, по крайней мере, с 2018 года, известная тем, что нацелена преимущественно на финансовые организации и онлайн-торговые платформы. Group-IB заявила, что хотя идентифицировала троян DarkMe, она не может уверенно увязать идентифицированную тогда компанию с сегодняшними случаями.
-
Хакеры КНДР пытались разведать информацию о военных учениях США и Южной Кореи.
-
Anonymous активизировала свои кибератаки на Японию с прошлого месяца, после того как Международное агентство по атомной энергии заявило, что запланированный сброс очищенной радиоактивной воды с разрушенной атомной электростанции Фукусима будет соответствовать мировым стандартам безопасности.