Die Entwickler der Dateikomprimierungssoftware WinRAR haben eine Zero-Day-Schwachstelle behoben, die es Hackern ermöglichte, Malware auf den Computern ahnungsloser Opfer zu installieren und so in deren Krypto- und Aktienhandelskonten einzudringen.
Am 23. August meldete das in Singapur ansässige Cybersicherheitsunternehmen Group-IB eine Zero-Day-Sicherheitslücke bei der Verarbeitung des ZIP-Dateiformats durch WinRAR.
Die als CVE-2023-38831 verfolgte Zero-Day-Schwachstelle wurde etwa vier Monate lang ausgenutzt und ermöglichte es Hackern, Malware zu installieren, wenn ein Opfer auf Dateien in einem Archiv klickte. Die Malware würde es Hackern dann ermöglichen, in Online-Krypto- und Aktienhandelskonten einzudringen, heißt es Bericht.
Mithilfe des Exploits konnten die Bedrohungsakteure bösartige RAR- und ZIP-Archive erstellen, die scheinbar harmlose Dateien wie JPG-Bilder oder PDF-Textdokumente anzeigten. Diese waffenfähigen ZIP-Archive wurden dann in Handelsforen verbreitet, die sich an Krypto-Händler richteten und Strategien wie „Beste persönliche Strategie für den Handel mit Bitcoin“ anboten.
Sobald die Malware extrahiert und ausgeführt wurde, können Bedrohungsakteure Geld von Brokerkonten abheben. Diese Schwachstelle wird seit April 2023 ausgenutzt.
Der Bericht bestätigte, dass die bösartigen Archive ihren Weg in mindestens acht öffentliche Handelsforen fanden und mindestens 130 Geräte infizierten. Die finanziellen Verluste des Opfers waren jedoch unbekannt.
Bei der Ausführung startet das Skript ein selbstextrahierendes (SFX) Archiv, das den Zielcomputer mit verschiedenen Malware-Stämmen wie DarkMe, GuLoader und Remcos RAT infiziert.
Diese ermöglichen dem Angreifer Fernzugriffsrechte auf den infizierten Computer. DarkMe-Malware wurde bereits bei krypto- und finanziell motivierten Angriffen eingesetzt.
Die Forscher benachrichtigten RARLABS, das die Zero-Day-Sicherheitslücke in der am 2. August veröffentlichten WinRAR-Version 6.23 behoben hat.
Verwandt: Krypto-Investoren werden von neuer Malware angegriffen, verrät Cisco Talos
Im August identifizierte der Smartphone-Riese BlackBerry mehrere Malware-Familien, die aktiv darauf abzielten, Computer zu kapern, um Kryptowährungen abzubauen oder zu stehlen.
Im selben Monat wurde auch bekannt, dass ein neu entdecktes Fernzugriffstool namens HVNC (Hidden Virtual Network Computer), mit dem Hacker Apple-Betriebssysteme kompromittieren können, im Darknet zum Verkauf angeboten wurde.
Zeitschrift: Sollten Kryptoprojekte jemals mit Hackern verhandeln? Wahrscheinlich