Кіберзлочинці експлуатують вразливість архіватора WinRAR, хоча інформація про її існування вже оприлюднена, і розробник випустив оновлену версію програму, де дана вразливість була закрита. Сплеск хакерської активності виявили експерти компанії Group-IB.
Вразливість WinRAR дозволяє зловмисникам ховати в архівах шкідливі скрипти, маскуючи їх під невинні на перший погляд файли JPG та TXT. Хакери експлуатують уразливість архіватора щонайменше з квітня цього року, розміщуючи шкідливі файли на спеціалізованих трейдерських форумах — експерти виявили такі архіви на восьми майданчиках, присвячених біржовій торгівлі, інвестиціям та криптовалютам. В одному з випадків адміністрація форуму дізналася про інцидент, видалила файли та заблокувала користувачів, які їх розповсюджували, але ті знайшли можливість зняти блокування та продовжити розповсюдження шкідливих даних.
Коли жертва відкриває такий файл, хакери отримують доступ до її брокерських рахунків, завдяки чому проводять незаконні фінансові операції та викрадають кошти, розповіли у Group-IB. Наразі встановлено, що заразити вдалося комп’ютери як мінімум 130 трейдерів, але обсяги фінансових втрат на даному етапі оцінити не виходить.
Вірогідних даних про організаторів атаки поки немає, але відомо, що хакери користувалися VisualBasic-трояном DarkMe, який раніше був пов’язаний з угрупуванням Evilnum, також відомим як TA4563. Вона діє як мінімум з 2018 року в Європі та Великій Британії, обираючи собі в жертви фінансові організації та платформи онлайн-торгівлі.