WinRAR behebt Zero-Day-Bug, der Aktien- und Krypto-Händler ins Visier nahm

Die Entwickler der Dateikomprimierungssoftware WinRAR haben eine Zero-Day-Sicherheitslücke gepatcht, die es Hackern ermöglichte, auf den Computern ahnungsloser Opfer Malware zu installieren und sich so in deren Krypto- und Aktienhandelskonten zu hacken.
Am 23. August meldete das in Singapur ansässige Cybersicherheitsunternehmen Group-IB eine Zero-Day-Sicherheitslücke bei der Verarbeitung des ZIP-Dateiformats durch WinRAR.
Die Zero-Day-Sicherheitslücke mit der Bezeichnung CVE-2023-38831 wurde etwa vier Monate lang ausgenutzt und ermöglichte es Hackern, Malware zu installieren, wenn ein Opfer auf Dateien in einem Archiv klickte. Die Malware würde es Hackern dann ermöglichen, in Online-Krypto- und Aktienhandelskonten einzudringen, so der Bericht.
Mithilfe des Exploits konnten die Angreifer bösartige RAR- und ZIP-Archive erstellen, die scheinbar harmlose Dateien wie JPG-Bilder oder PDF-Textdokumente anzeigten. Diese als Waffe eingesetzten ZIP-Archive wurden dann in Handelsforen verbreitet und zielten auf Krypto-Händler ab, die Strategien wie „die beste persönliche Strategie für den Handel mit Bitcoin“ anboten.
Nach dem Extrahieren und Ausführen der Malware können Bedrohungsakteure Geld von Brokerkonten abheben. Diese Schwachstelle wird seit April 2023 ausgenutzt.
Der Bericht bestätigte, dass die schädlichen Archive ihren Weg in mindestens acht öffentliche Handelsforen fanden und mindestens 130 Geräte infizierten; die finanziellen Verluste der Opfer waren jedoch unbekannt.
Infektionskette des WinRar-Exploits. Quelle: Group-IB
Bei der Ausführung startet das Skript ein selbstextrahierendes (SFX) Archiv, das den Zielcomputer mit verschiedenen Malware-Stämmen wie DarkMe, GuLoader und Remcos RAT infiziert.
Diese verleihen dem Angreifer Fernzugriffsrechte auf den infizierten Computer. Die DarkMe-Malware wurde bereits früher bei kryptografisch und finanziell motivierten Angriffen eingesetzt.
Die Forscher benachrichtigten RARLABS, das die Zero-Day-Sicherheitslücke in der am 2. August veröffentlichten WinRAR-Version 6.23 gepatcht hat.
Im August identifizierte der Smartphone-Riese BlackBerry mehrere Malware-Familien, die aktiv darauf abzielten, Computer zu kapern, um Kryptowährungen zu schürfen oder zu stehlen.
Im selben Monat wurde auch bekannt, dass im Darknet ein neu entdecktes Fernzugriffstool namens HVNC (Hidden Virtual Network Computer) zum Verkauf angeboten wurde, mit dem Hacker Apple-Betriebssysteme kompromittieren können.
Magazin: Sollten Kryptoprojekte jemals mit Hackern verhandeln? Wahrscheinlich