Підтримувані урядом хакери з росії та Китаю використали відому вразливість у застарілих версіях WinRAR – найпопулярнішого у світі інструменту стиснення, який використовують понад 500 мільйонів користувачів.
Група аналізу загроз Google (TAG) заявила, що спостерігала низку хакерських кампаній із використанням помилки WinRAR, починаючи з початку 2023 року, повідомляє Gizmodo.
«Щоб забезпечити захист, ми закликаємо організації та користувачів постійно оновлювати програмне забезпечення і встановлювати оновлення безпеки, щойно вони стануть доступними», – сказала Кейт Морган із Google у дописі в блозі TAG.
Вразливість існує у всіх продуктах RARLAB WinRAR до версії 6.23, випущеної в серпні незабаром після виявлення помилки.
Її було виявлено Group-IB, яка встановила, як хакерам вдалося проникнути на фінансовий форум, повний трейдерів, заразити 130 пристроїв учасників форуму і зняти кошти з їхніх брокерських рахунків.
«Кіберзлочинці використовують уразливість, яка дає їм змогу підробляти розширення файлів. Вони здатні приховати запуск шкідливого сценарію в архіві, який маскується під «.jpg», «.txt» або будь-який інший формат файлу», – написав Андрій Половінкін, аналітик зловмисного програмного забезпечення Group-IB, у повідомленні в блозі ще у серпні.
Компанія Google ідентифікувала групу збройних сил росії Sandworm як хакера, який використовує цю вразливість у коді WinRAR. За допомогою фішингових кампаній Sandworm спеціально націлювався на користувачів, пов’язаних з енергетичним та оборонним секторами України й Східної Європи.
Інша група «APT 40», яка була пов’язана з Державним департаментом Китаю, була ідентифікована Google як запуск зловмисної кампанії проти Папуа-Нової Гвінеї.
У примітці щодо версії 6.23 WinRAR, першого оновлення для виправлення помилки, RARLAB подякував Group-IB та Zero Day Initiative за те, що вони повідомили про вразливість, і «наполегливо рекомендує встановити останню версію».
Раніше ми повідомляли, що вразливість WinRAR дає змогу хакерам запускати довільний код, коли ви відкриваєте архіви RAR.
Підписуйтеся на ProIT у Telegram, щоб не пропустити жодну публікацію!
