Un actor de amenazas con posibles conexiones con el grupo Evilnum de Rusia, motivado financieramente, está apuntando a usuarios en foros de comercio de criptomonedas en línea a través de un error ahora parcheado en la popular utilidad de compresión de archivos WinRAR.
El error, identificado como CVE-2023-38831, permite a los atacantes ocultar código malicioso en archivos ZIP disfrazados de ".jpg", ".txt" y otros formatos de archivo, y luego distribuirlos en foros de comercio de criptomonedas en línea.
Los ataques han estado ocurriendo al menos desde abril, unos tres meses antes de que los investigadores de Group-IB descubrieran la vulnerabilidad y la informaran a RarLab, la empresa que desarrolla y distribuye WinRAR.
Este error se suma al informado la semana pasada e identificado como CVE-2023-40477.
RarLab emitió un parche beta para el problema el 20 de julio y una versión actualizada de WinRAR (versión 6.23) el 2 de agosto. Aun así, al menos 130 sistemas en foros que la gente usa para intercambiar criptomonedas siguen infectados, dijo Group-IB en un informe esta semana. El proveedor de seguridad instó a los usuarios de WinRAR (actualmente estimados en 500 millones) a instalar la nueva versión de inmediato para mitigar su exposición a ataques dirigidos a la vulnerabilidad.
Los investigadores de Group-IB descubrieron la vulnerabilidad Zero-Day en WinRAR cuando investigaban la actividad de amenazas relacionada con DarkMe, un troyano de acceso remoto que el proveedor de seguridad NSFocus descubrió por primera vez el año pasado y atribuyó a Evilnum. El malware incluye una variedad de funciones para espiar objetivos o usarlo como cargador de otro malware. NSFocus observó que el grupo Evilnum implementaba DarkMe en ataques dirigidos a casinos en línea y plataformas comerciales en varios países.
La vulnerabilidad que encontró Group-IB surge de cómo WinRAR procesa el formato de archivo ZIP. Básicamente, les dio a los atacantes una forma de ocultar varios tipos de herramientas de malware en archivos ZIP y distribuirlos a los sistemas de destino. Los investigadores de Group-IB observaron que el actor de amenazas entregaba al menos tres familias de malware de esta manera: DarkMe, GuLoader y Remcos RAT.
Luego, el actor de amenazas distribuyó los archivos ZIP armados en al menos ocho foros públicos que los comerciantes en línea utilizan regularmente para compartir información y discutir temas de interés mutuo.
En la mayoría de los casos, el adversario adjuntó el archivo ZIP cargado de malware a una publicación del foro o en mensajes privados a otros miembros del mismo. El tema de las publicaciones tendía a ser algo que captaría la atención de un miembro. Por ejemplo, en una publicación, el actor de amenazas pretendía ofrecer su mejor estrategia personal para comerciar con bitcoin y adjuntó el archivo ZIP malicioso a esa publicación. Group-IB dice que también observó que el actor de amenazas obtuvo acceso a cuentas de foros e insertó su malware en hilos de discusión existentes.
En algunos casos, el atacante distribuyó los archivos ZIP a través de un servicio gratuito de almacenamiento de archivos llamado catbox[.]moe.
Una vez instalado en un sistema, el malware obtiene acceso a las cuentas comerciales de la víctima y ejecuta transacciones no autorizadas para retirar fondos. En algunas ocasiones, los administradores del foro se dieron cuenta de que se distribuían archivos maliciosos a través de sus sitios e intentaron advertir a los miembros sobre la amenaza. A pesar de estas advertencias, el actor de amenazas continuó publicando publicaciones en el foro con archivos adjuntos maliciosos.
Fuente: DarkReading