lundi, décembre 23, 2024

WinRAR corrige un bug zero-day qui ciblait les traders d’actions et de crypto-monnaies

Les développeurs du logiciel de compression de fichiers WinRAR ont corrigé une vulnérabilité Zero Day qui permettait aux pirates informatiques d’installer des logiciels malveillants sur les ordinateurs des victimes sans méfiance, leur permettant ainsi de pirater leurs comptes de crypto-monnaie et de négociation d’actions.

Le 23 août, la société de cybersécurité Group-IB, basée à Singapour, a signalé une vulnérabilité zero-day dans le traitement du format de fichier ZIP par WinRAR.

La vulnérabilité Zero Day, identifiée comme CVE-2023-38831, a été exploitée pendant environ quatre mois, permettant aux pirates informatiques d’installer des logiciels malveillants lorsqu’une victime cliquait sur des fichiers dans une archive. Le malware permettrait alors aux pirates de pirater les comptes de crypto-monnaie et de négociation d’actions en ligne, selon le rapport.

Grâce à cet exploit, les auteurs de la menace ont pu créer des archives RAR et ZIP malveillantes affichant des fichiers apparemment innocents tels que des images JPG ou des documents texte PDF. Ces archives ZIP armées ont ensuite été distribuées sur des forums de trading ciblant les traders de crypto proposant des stratégies telles que « la meilleure stratégie personnelle pour trader avec Bitcoin ».

Une fois extrait et exécuté, le malware permet aux acteurs malveillants de retirer de l’argent des comptes des courtiers. Cette vulnérabilité est exploitée depuis avril 2023.

Le rapport confirme que les archives malveillantes se sont retrouvées sur au moins huit forums commerciaux publics, infectant au moins 130 appareils, mais les pertes financières de la victime étaient inconnues.

WinRar exploite la chaîne d’infection. Source : Groupe-IB

Lors de l’exécution, le script lance une archive auto-extractible (SFX) qui infecte l’ordinateur cible avec diverses souches de logiciels malveillants, tels que DarkMe, GuLoader et Remcos RAT.

Ceux-ci fournissent à l’attaquant des privilèges d’accès à distance sur l’ordinateur infecté. Le malware DarkMe a déjà été utilisé dans des attaques cryptographiques et à motivation financière.

Les chercheurs ont informé RARLABS qui a corrigé la vulnérabilité zero-day dans la version 6.23 de WinRAR, publiée le 2 août.

En rapport: Les investisseurs en crypto attaqués par de nouveaux logiciels malveillants, révèle Cisco Talos

En août, le géant des smartphones BlackBerry a identifié plusieurs familles de logiciels malveillants visant activement à détourner des ordinateurs pour extraire ou voler des crypto-monnaies.

Le même mois a également révélé qu’un outil d’accès à distance récemment découvert appelé HVNC (Hidden Virtual Network Computer) qui peut permettre aux pirates informatiques de compromettre les systèmes d’exploitation Apple a été trouvé en vente sur le dark web.

Revue: Les projets de cryptographie devraient-ils un jour négocier avec les pirates ? Probablement