Un actor de amenazas con posibles conexiones con el grupo Evilnum de Rusia,
motivado financieramente, está apuntando a usuarios en foros de comercio de
criptomonedas en línea a través de un error ahora parcheado en la popular
utilidad de compresión de archivos WinRAR.
El error, identificado como CVE-2023-38831, permite a los atacantes ocultar
código malicioso en archivos ZIP disfrazados de «.jpg», «.txt» y otros
formatos de archivo, y luego distribuirlos en foros de comercio de
criptomonedas en línea.
Los ataques han estado ocurriendo al menos desde abril, unos tres meses antes
de que los
investigadores de Group-IB descubrieran la vulnerabilidad y la informaran a
RarLab, la empresa que desarrolla y distribuye WinRAR.
Este error se suma al informado la semana pasada e identificado como
CVE-2023-40477.
RarLab emitió un parche beta para el problema el 20 de julio y una versión
actualizada de WinRAR (versión 6.23) el 2 de agosto. Aun así, al menos 130 sistemas en foros que la gente usa
para intercambiar criptomonedas siguen infectados, dijo Group-IB en un informe
esta semana. El proveedor de seguridad instó a los usuarios de WinRAR
(actualmente estimados en 500 millones) a instalar la nueva versión de
inmediato para mitigar su exposición a ataques dirigidos a la vulnerabilidad.
Los investigadores de Group-IB descubrieron la vulnerabilidad Zero-Day en
WinRAR cuando investigaban la actividad de amenazas relacionada con DarkMe, un
troyano de acceso remoto que el proveedor de seguridad
NSFocus descubrió
por
primera vez el año pasado
y atribuyó a Evilnum. El malware incluye una variedad de funciones para espiar
objetivos o usarlo como cargador de otro malware. NSFocus observó que el grupo
Evilnum implementaba DarkMe en ataques dirigidos a casinos en línea y
plataformas comerciales en varios países.
La vulnerabilidad que encontró Group-IB surge de cómo WinRAR procesa el
formato de archivo ZIP. Básicamente, les dio a los atacantes una forma de
ocultar varios tipos de herramientas de malware en archivos ZIP y
distribuirlos a los sistemas de destino. Los investigadores de Group-IB
observaron que el actor de amenazas entregaba al menos tres familias de
malware de esta manera: DarkMe,
GuLoader
y
Remcos RAT.
Luego, el actor de amenazas distribuyó los archivos ZIP armados en al menos
ocho foros públicos que los comerciantes en línea utilizan regularmente para
compartir información y discutir temas de interés mutuo.
En la mayoría de los casos, el adversario adjuntó el archivo ZIP cargado de
malware a una publicación del foro o en mensajes privados a otros miembros del
mismo. El tema de las publicaciones tendía a ser algo que captaría la atención
de un miembro. Por ejemplo, en una publicación, el actor de amenazas pretendía
ofrecer su mejor estrategia personal para comerciar con bitcoin y adjuntó el
archivo ZIP malicioso a esa publicación. Group-IB dice que también observó que
el actor de amenazas obtuvo acceso a cuentas de foros e insertó su malware en
hilos de discusión existentes.
En algunos casos, el atacante distribuyó los archivos ZIP a través de un
servicio gratuito de almacenamiento de archivos llamado catbox[.]moe.
Una vez instalado en un sistema, el malware obtiene acceso a las cuentas
comerciales de la víctima y ejecuta transacciones no autorizadas para retirar
fondos. En algunas ocasiones, los administradores del foro se dieron cuenta de
que se distribuían archivos maliciosos a través de sus sitios e intentaron
advertir a los miembros sobre la amenaza. A pesar de estas advertencias, el
actor de amenazas continuó publicando publicaciones en el foro con archivos
adjuntos maliciosos.
Fuente:
DarkReading
Los comentarios están cerrados.