Un fallo de WinRAR permite a atacantes vaciar las cuentas bancarias de sus víctimas
WinRAR, una popular herramienta para manejar archivos comprimidos en Windows, tiene una vulnerabilidad que permite a los piratas informáticos robar fondos de sus víctimas.
La empresa de ciberseguridad Group-IB informa de una vulnerabilidad de día cero en WinRAR, que afecta al procesamiento del formato de archivo ZIP por parte de la herramienta de archivado. Para los que no lo sepan, una vulnerabilidad de día cero es un fallo en un sistema o dispositivo que ha sido revelado pero que aún no ha sido parcheado.
Al parecer, la vulnerabilidad permite a los atacantes ocultar scripts maliciosos en archivos comprimidos aparentemente inofensivos, como imágenes JPEG o archivos de texto.
Una vez que el usuario objetivo abre el archivo malicioso, los atacantes pueden acceder a su ordenador y robar su información personal, incluidas las credenciales de cuentas financieras. En el caso de los traders, esto permite a los hackers realizar operaciones no autorizadas o retirar fondos de las cuentas de sus víctimas.
Según los informes, los dispositivos de al menos 130 traders han sido infectados; sin embargo, aún no hay noticias sobre las pérdidas financieras. Una de las víctimas declaró a los investigadores de Group-IB que los hackers intentaron retirar su dinero, pero no lo consiguieron.
El medio afirma que los atacantes llevan utilizando esta vulnerabilidad desde abril para difundir archivos ZIP maliciosos en foros especializados en trading. Según la fuente, estos archivos ZIP maliciosos han aparecido en al menos ocho foros públicos en los que se debaten diversos temas relacionados con el trading, las inversiones y las criptomonedas. Sin embargo, no se han revelado los nombres de estos foros.
Se desconoce la identidad de los piratas informáticos que explotaron la vulnerabilidad de día cero de WinRAR. Sin embargo, la empresa de ciberseguridad Group-IB afirma que los piratas informáticos están utilizando DarkMe, un troyano VisualBasic que ha sido vinculado anteriormente al grupo de amenazas «Evilnum».
La empresa de ciberseguridad habría informado de la vulnerabilidad, denominada CVE-2023-38831, al fabricante de WinRAR, Rarlab, que publicó la corrección en la versión 6.23 de WinRAR el 2 de agosto.