Noticias

WinRAR parchea un fallo de día cero dirigido a traders de criptomonedas

By 25/08/2023 No Comments

Desarrolladores del programa de compresión de archivos WinRAR han parcheado una vulnerabilidad de día cero que permitía a hackers instalar malware en los ordenadores de víctimas desprevenidas.

Desarrolladores del programa de compresión de archivos WinRAR han parcheado una vulnerabilidad de día cero que permitía a hackers instalar malware en los ordenadores de víctimas desprevenidas, lo que les permitía hackear sus cuentas de criptomonedas y negociación de acciones.

El 23 de agosto, la empresa de ciberseguridad Group-IB, con sede en Singapur, informó de una vulnerabilidad de día cero en el procesamiento del formato de archivo ZIP por WinRAR.

La vulnerabilidad de día cero rastreada como CVE-2023-38831 fue explotada durante aproximadamente cuatro meses, permitiendo a los hackers instalar malware cuando una víctima hacía clic en los archivos de un archivo comprimido. Según el informe, el malware permitía a los hackers acceder a cuentas en línea de criptomonedas y negociación de acciones.

Utilizando el exploit, los autores de la amenaza podían crear archivos RAR y ZIP maliciosos que mostraban archivos aparentemente inocentes, como imágenes JPG o documentos de texto PDF. Estos archivos ZIP convertidos en armas se distribuían después en foros de negociación dirigidos a traders de criptomonedas, ofreciendo estrategias como “la mejor estrategia personal para hacer trading con bitcoin”.

“Una vez extraído y ejecutado, el malware permite a los actores de la amenaza retirar dinero de las cuentas de los brokers. Esta vulnerabilidad ha sido explotada desde abril de 2023.”El informe confirmó que los archivos maliciosos encontraron su camino en al menos ocho foros públicos de negociación infectando al menos 130 dispositivos, sin embargo, se desconocen las pérdidas financieras de las víctimas.

 

Cadena de infección del exploit de WinRar. Fuente: Group-IB

Al ejecutarse, el script lanza un archivo autoextraíble (SFX) que infecta el ordenador de destino con diversas cepas de malware, como DarkMe, GuLoader y Remcos RAT.

Estos programas proporcionan al atacante privilegios de acceso remoto al ordenador infectado. El malware DarkMe se ha utilizado anteriormente en ataques con motivaciones de criptomonedas y financieras.

Los investigadores avisaron a RARLABS, que parcheó la vulnerabilidad de día cero en la versión 6.23 de WinRAR, publicada el 2 de agosto.

En agosto, el gigante de los teléfonos inteligentes BlackBerry identificó varias familias de malware cuyo objetivo activo era hacer hijacking de ordenadores para minar o robar criptomonedas.

Ese mismo mes también se descubrió una herramienta de acceso remoto llamada HVNC (Hidden Virtual Network Computer) que puede permitir a los hackers comprometer los sistemas operativos de Apple, y que se encontraba a la venta en la dark web.

Fuente: https://es.cointelegraph.com/news/winrar-patches-zero-day-bug-targeted-crypto-traders