Una vez más, una vulnerabilidad Zero-Day ha venido a la luz, esta vez afectando a los usuarios de la popular utilidad de compresión de archivos, WinRAR. La vulnerabilidad, conocida como CVE-2023-38831, ha sido explotada por un grupo de amenazas que se cree tiene conexiones con el infame grupo Evilnum de Rusia.
La naturaleza de esta vulnerabilidad permitió que los atacantes ocultaran código malicioso en archivos ZIP camuflados bajo extensiones familiares como “.jpg” o “.txt”. Estos archivos infectados se distribuyeron en foros de comercio de criptomonedas en línea, impactando a usuarios que buscaban información y discusiones relacionadas con el mundo de las criptos.
Intrigantemente, los ataques ya habían estado en marcha durante varios meses antes de que la vulnerabilidad fuera detectada por los investigadores de Group-IB, quienes posteriormente informaron a RarLab, la empresa detrás de WinRAR. Esto demuestra la rapidez y la astucia con la que los actores de amenazas pueden aprovechar las vulnerabilidades recién descubiertas.
RarLab no tardó en responder a la situación. Emitieron un parche beta poco después de identificar el problema y lanzaron una versión actualizada de WinRAR (versión 6.23) para abordar la vulnerabilidad. Sin embargo, a pesar de estos esfuerzos, el impacto persiste. Según Group-IB, más de 130 sistemas en foros de comercio de criptomonedas siguen comprometidos.
La magnitud de esta vulnerabilidad es considerable, ya que WinRAR cuenta con una base de usuarios estimada en 500 millones. Group-IB ha instado a todos los usuarios a actualizar inmediatamente a la versión más reciente para protegerse de los ataques dirigidos específicamente a esta vulnerabilidad.
La investigación de Group-IB arrojó luz sobre el método de operación de los atacantes. La vulnerabilidad se aprovechaba de la forma en que WinRAR procesa los archivos ZIP, permitiendo a los actores de amenazas esconder malware en estos archivos y distribuirlos a sistemas vulnerables. El actor detrás de esta campaña de ataques ha distribuido múltiples familias de malware, incluyendo DarkMe, GuLoader y Remcos RAT.
Curiosamente, los ataques se llevaron a cabo en foros públicos de comercio de criptomonedas. El actor de amenazas adjuntaba los archivos ZIP infectados a publicaciones o mensajes privados, a menudo utilizando temas que atraerían a los miembros del foro interesados en el comercio de criptomonedas. Además, utilizaron servicios de almacenamiento de archivos para distribuir el malware de manera más amplia.
Una vez que el malware se infiltra en un sistema, los resultados pueden ser devastadores. Los atacantes obtienen acceso a las cuentas de comercio de las víctimas y realizan transacciones no autorizadas para drenar fondos. A pesar de los esfuerzos de algunos administradores de foros para advertir a los usuarios, el actor de amenazas continuó sus ataques, adaptando sus métodos para sortear las defensas.
Este último episodio enfatiza la importancia de la actualización constante de software y la conciencia de las amenazas cibernéticas en evolución. Los usuarios deben permanecer vigilantes y tomar medidas proactivas para protegerse en un mundo digital cada vez más peligroso.
Fuente: DarkReading