Sfruttato il difetto Zero-Day di WinRAR: criptovalute e conti azionari sotto assedio

Il famoso software di compressione file WinRAR era sotto il radar degli aggressori informatici, secondo una sorprendente rivelazione che ha scosso la comunità informatica. Fino a poco tempo fa, una vulnerabilità zero-day in agguato nell'ombra consentiva agli hacker di installare software dannoso sui PC degli utenti, mettendo a repentaglio la loro criptovaluta e i conti azionari.

Il 23 agosto, Group-IB, un rinomato gruppo di sicurezza informatica con sede a Singapore, ha scoperto un punto debole nella gestione del formato file ZIP da parte di WinRAR. Questa perniciosa vulnerabilità, denominata CVE-2023-38831, è stata un asso nella manica per attori malevoli per circa quattro mesi.

Utilizzando il problema zero-day, gli aggressori informatici hanno creato archivi RAR e ZIP che nascondevano intenti dannosi dietro elementi apparentemente innocui come foto JPG o documenti PDF. Il mondo di Internet è stato testimone di un nefasto espediente di marketing quando questi file ZIP modificati, pubblicizzando strategie di trading allettanti come "Top Bitcoin Trading Hacks", si sono fatti strada attraverso i forum di trading, prendendo di mira principalmente gli ignari trader di criptovaluta.

Il pericolo risiedeva nei file inclusi in questi archivi. Quando un utente faceva clic su di essi, il virus dormiente si attivava, consentendo agli aggressori di drenare fondi dai conti dei broker. Questo minaccioso sfruttamento è iniziato nell’aprile 2023, secondo una cronologia.

Il rapporto del Group-IB ha fatto luce sulla portata di questo attacco informatico. Secondo una stima prudente, questi archivi contaminati si sono infiltrati in almeno otto siti di trading, infrangendo le protezioni di oltre 130 dispositivi. Tuttavia, le conseguenze finanziarie di queste infiltrazioni rimangono sconosciute.

Quando il virus viene attivato, viene svelato un archivio autoestraente, inondando il sistema compromesso con potenti ceppi di malware come i rinomati DarkMe, GuLoader e Remcos RAT. Questi parassiti digitali garantiscono al colpevole l’accesso remoto, trasformando il sistema infetto in un parco giochi digitale. In particolare, il virus DarkMe ha la reputazione di essere stato utilizzato in passato in attacchi informatici finanziari.

In seguito all'allarme dei ricercatori, RARLABS ha corretto rapidamente questa falla di sicurezza nella versione 6.23 di WinRAR, rilasciata il 2 agosto.

Tuttavia, WinRAR non è l’unica piattaforma sotto attacco informatico. Ad agosto BlackBerry, il produttore di smartphone, ha identificato diverse famiglie di virus con l’obiettivo diabolico di infettare i sistemi per estrarre o rubare valute digitali. La rivelazione di HVNC (Hidden Virtual Network Computer), un rivoluzionario strumento di accesso remoto disponibile per l'acquisto sul dark web, ha aggiunto benzina sul fuoco, dimostrando la capacità di rompere anche i famosi sistemi operativi di Apple.

Nell’era digitale, restare vigili è più di un semplice requisito; è un istinto di sopravvivenza.