Pesquisadores de segurança descobriram uma nova vulnerabilidade grave no WinRAR que estava sendo aproveitada por cibercriminosos para roubar carteiras de criptomoedas. A falha do tipo zero day vinha sendo explorada ativamente desde abril, segundo a empresa Group-IB, responsável por identificá-la, na quarta-feira (23).
De acordo com o relatório, a brecha era usada para esconder códigos maliciosos em arquivos supostamente inofensivos, como documentos (.PDF), imagens (.JPG) e textos (.TXT). Ao descompactar o material compartilhado pelos cibercriminosos, um script era executado no dispositivo da vítima.
Método usado pelos cibercriminosos para infectar o dispositivo da vítima.Fonte: Group-IB/Reprodução
A ação possibilitava a instalação de programas maliciosos no computador do alvo, que permitia que os invasores vasculhassem a máquina em busca de informações financeiras. Eles procuravam dados sobre contas bancárias acessadas ali, corretoras de criptomoedas e carteiras para o gerenciamento de moedas digitais.
Usando a falha grave no WinRAR, os autores distribuíam pelo menos três famílias de malwares, como DarkMe, GuLoader e Remcos RAT, que forneciam acesso remoto ao dispositivo. Segundo a empresa de segurança, as mesmas ameaças virtuais já foram observadas em outros ataques cibernéticos com motivação financeira.
Investidores como alvo
O grupo que explorava a falha zero day no WinRAR começou a espalhar arquivos maliciosos em fóruns focados em negociações de criptoativos. Comunidades que tratavam de ações e outros investimentos também eram alvos.
Se passando por investidores de sucesso, os invasores distribuíam o material malicioso como se fossem dicas e ferramentas seguras. Pelo menos 130 dispositivos de traders foram infectados, mas não há informações sobre a quantidade exata de pessoas afetadas nem as quantias roubadas.
Registrada como CVE-2023-38831, a falha descoberta em julho foi corrigida na atualização mais recente do programa, lançada no início deste mês. Dessa forma, é recomendável baixar o WinRAR 6.23 imediatamente para obter a solução. Vale destacar que o update também corrige outra brecha de alta gravidade recém-encontrada no programa.
