Cibercriminosos exploram vulnerabilidade de dia zero no WinRAR para roubo de fundos
Uma vulnerabilidade de dia zero no software WinRAR está sendo explorada por cibercriminosos para realizar roubos em contas de investidores. A descoberta dessa falha foi realizada pela empresa de segurança cibernética Group-IB.
Resumo do incidente:
O WinRAR é uma ferramenta amplamente usada no sistema Windows para manipular arquivos compactados. A falha de segurança foi identificada em junho e afeta o processamento de arquivos .ZIP no WinRAR. Esta vulnerabilidade de dia zero, que indica que a Rarlab, empresa responsável pelo WinRAR, não teve tempo para lançar uma correção antes da exploração, permite que os hackers ocultem scripts maliciosos em arquivos compactados, disfarçados como imagens ou textos (“jpg” ou “txt”, por exemplo). Quando um usuário baixa e abre um arquivo contaminado com malware em seu dispositivo, os hackers podem obter dados e acessar as contas das corretoras das vítimas, permitindo a realização de transações financeiras e saques. De acordo com o Group-IB, os hackers têm aproveitado essa vulnerabilidade desde abril de 2023 para disseminar arquivos ZIP maliciosos em fóruns financeiros.
Arquivos ZIP contaminados foram compartilhados em pelo menos oito fóruns públicos que abordam temas relacionados a negociações, investimentos e criptomoedas. No entanto, a identidade dos fóruns não foi revelada pela empresa de cibersegurança.
Os administradores de um desses fóruns tomaram conhecimento da ameaça e emitiram um alerta aos usuários. Eles também conseguiram bloquear as contas dos invasores. No entanto, os hackers encontraram maneiras de “desbloquear contas desativadas” e continuar disseminando arquivos maliciosos em postagens, tópicos e mensagens privadas, conforme explicou o Group-IB.
Segundo o Group-IB, cerca de 130 dispositivos já foram infectados até o momento. As perdas financeiras ainda não foram quantificadas.
Responsáveis pelo ataque:
O grupo por trás da exploração dessa falha no WinRAR ainda não foi identificado. A empresa de segurança cibernética suspeita do grupo Evilnum, que opera no Reino Unido e na Europa desde pelo menos 2018. Esse grupo ganhou notoriedade por focar em organizações financeiras e plataformas de negociação online.
A Rarlab, empresa responsável pelo WinRAR, lançou uma versão atualizada do programa neste mês que promete corrigir o problema.
Fonte: Olhar Digital
Comentários