Хакери з росії навчились зламувати ПК українців, використовуючи архіватор WinRAR

Дослідники безпеки Google з’ясували: підтримувані урядом росії хакери експлуатують нещодавно виправлену вразливість у WinRAR, популярній утиліті-архіваторі для Windows.

Вразливість WinRAR, вперше виявлена компанією Group-IB, дозволяє зловмисникам приховувати шкідливі скрипти в архівних файлах, які маскуються під зображення або текстові документи. Спеціалісти з безпеки пояснили, що цей недолік використовувався як нульовий день — оскільки розробник не мав часу на виправлення помилки до того, як вона була експлуатована.

Дослідники Google Threat Analysis Group (TAG) помітили, що хакери Sandworm використовували вразливість WinRAR на початку вересня в рамках шкідливої електронної розсилки, яка видавала себе за українську школу дронів або Центр Разумкова. Листи містили посилання на шкідливий архівний файл, що експлуатує CVE-2023−38 831, який при відкритті встановлював на комп’ютер жертви шкідливе програмне забезпечення та викрадав конфіденційні дані та паролі.

Спеціалісти Google знайшли докази того, що підтримувана Китаєм хакерська група, відома як APT40, також зловживала вразливістю нульового дня WinRAR. Хакери діяли в рамках фішингової кампанії, націленої на користувачів з Папуа-Нової Гвінеї. Ці електронні листи містили посилання у Dropbox на архівний файл, що містив експлойт CVE-2023−38 831.

Як наголосили дослідники TAG, триваюча експлуатація помилки WinRAR «підкреслює, що експлойти для відомих вразливостей можуть бути дуже ефективними», оскільки зловмисники використовують повільні темпи випуску патчів на свою користь.

Источник: noworries.news