Хакери з росії навчились зламувати ПК українців, використовуючи архіватор WinRAR

Дослідники безпеки Google з’ясували: підтримувані урядом росії хакери експлуатують нещодавно виправлену вразливість у WinRAR, популярній утиліті-архіваторі для Windows.

Вразливість WinRAR, вперше виявлена компанією Group-IB, дозволяє зловмисникам приховувати шкідливі скрипти в архівних файлах, які маскуються під зображення або текстові документи. Спеціалісти з безпеки пояснили, що цей недолік використовувався як нульовий день — оскільки розробник не мав часу на виправлення помилки до того, як вона була експлуатована.

Дослідники Google Threat Analysis Group (TAG) помітили, що хакери Sandworm використовували вразливість WinRAR на початку вересня в рамках шкідливої електронної розсилки, яка видавала себе за українську школу дронів або Центр Разумкова. Листи містили посилання на шкідливий архівний файл, що експлуатує CVE-2023−38 831, який при відкритті встановлював на комп’ютер жертви шкідливе програмне забезпечення та викрадав конфіденційні дані та паролі.

Спеціалісти Google знайшли докази того, що підтримувана Китаєм хакерська група, відома як APT40, також зловживала вразливістю нульового дня WinRAR. Хакери діяли в рамках фішингової кампанії, націленої на користувачів з Папуа-Нової Гвінеї. Ці електронні листи містили посилання у Dropbox на архівний файл, що містив експлойт CVE-2023−38 831.

Як наголосили дослідники TAG, триваюча експлуатація помилки WinRAR «підкреслює, що експлойти для відомих вразливостей можуть бути дуже ефективними», оскільки зловмисники використовують повільні темпи випуску патчів на свою користь.

Нагадаємо — хакери Sandworm опинились у списку найбільш активних, небезпечних і дієздатних груп російських злочинних кіберугрупувань. Представники Держспецзв’язку України повідомили: у першому півріччі 2023 року фахівці зафіксували постійну діяльність щонайменше 23 російських кібертерористичних хакерських угруповань. Усі вони переслідують різні цілі, зокрема і воєнні, та атакують як державний, так і приватний сектори.