Os cibercriminosos estão explorando uma vulnerabilidade no arquivador WinRAR, embora informações sobre sua existência já tenham sido divulgadas, e o desenvolvedor tenha lançado uma versão atualizada do programa onde esta vulnerabilidade foi encerrada. Um aumento na atividade de hackers foi descoberto por especialistas do Grupo-IB.
A vulnerabilidade WinRAR permite que invasores ocultem scripts maliciosos em arquivos, disfarçando-os como arquivos JPG e TXT aparentemente inocentes. Os hackers têm explorado a vulnerabilidade do arquivador desde pelo menos abril deste ano, postando arquivos maliciosos em fóruns comerciais especializados – especialistas encontraram esses arquivos em oito sites dedicados a negociações de câmbio, investimentos e criptomoedas. Em um caso, a administração do fórum descobriu o incidente, excluiu os arquivos e bloqueou os usuários que os distribuíram, mas encontrou uma oportunidade de remover o bloqueio e continuar espalhando malware.
Quando uma vítima abre esse arquivo, os hackers obtêm acesso às suas contas de corretagem, por meio das quais realizam transações financeiras ilegais e roubam fundos, disse o Grupo-IB. Até à data, foi estabelecido que os computadores de pelo menos 130 comerciantes foram infectados, mas é impossível estimar o montante das perdas financeiras nesta fase.
Ainda não há dados confiáveis sobre os organizadores do ataque, mas sabe-se que os hackers usaram o Trojan VisualBasic DarkMe, anteriormente associado ao grupo Evilnum, também conhecido como TA4563. Está em operação desde pelo menos 2018 na Europa e no Reino Unido, visando instituições financeiras e plataformas de negociação online.