Recentemente, uma ameaça cibernética tem abalado o mundo dos investimentos online, com hackers tirando vantagem de uma vulnerabilidade até então desconhecida no renomado programa de arquivamento do Windows, o WinRAR. Essa brecha de segurança está sendo usada para visar traders, resultando no roubo de fundos significativos de suas contas em corretoras.
Explorando uma vulnerabilidade zero-day
A descoberta da vulnerabilidade foi feita pela empresa de cibersegurança Group-IB, que identificou o problema no processamento de arquivos ZIP pelo WinRAR em junho. O termo “zero-day” se refere ao fato de que os desenvolvedores do software não tiveram tempo para corrigir essa falha antes que os hackers a explorassem. Isso permitiu que os invasores escondessem scripts maliciosos em arquivos de arquivamento disfarçados, por exemplo, como imagens “.jpg” ou documentos de texto “.txt“. Esses arquivos aparentemente inofensivos foram usados como vetor para comprometer as máquinas das vítimas.
Ataques focados no mundo das negociações
A estratégia dos hackers foi direcionada principalmente a traders e investidores ativos. O Group-IB revelou que os invasores têm usado essa vulnerabilidade desde abril para espalhar arquivos ZIP maliciosos em fóruns de negociação especializados. Esses fóruns, que abrangem tópicos que vão desde investimentos tradicionais até assuntos relacionados a criptomoedas, foram alvos das investidas dos criminosos cibernéticos.
Ação coordenada para propagação
Para espalhar os arquivos infectados, os hackers exploraram a natureza interconectada desses fóruns como revelou o TechCrunch. Em pelo menos oito fóruns públicos, eles postaram arquivos ZIP contendo códigos maliciosos. O alcance desses fóruns era amplo, abrangendo desde investidores novatos até especialistas em criptomoedas. O Group-IB confirmou que os invasores não revelaram os fóruns específicos que foram alvo.
Respostas e consequências
Quando os administradores de um desses fóruns perceberam o compartilhamento de arquivos suspeitos, eles emitiram um aviso para os usuários. Embora medidas tenham sido tomadas para bloquear as contas usadas pelos hackers, o Group-IB observou que os invasores demonstraram habilidade em reativar contas desativadas e continuar espalhando arquivos maliciosos. Até o momento, estima-se que pelo menos 130 traders tiveram seus dispositivos infectados. No entanto, as perdas financeiras associadas a esses ataques ainda não puderam ser quantificadas.
Operações maliciosas e ligações suspeitas
Uma vez que os usuários abrem os arquivos infectados, os hackers conseguem acessar as contas de corretagem das vítimas, concedendo-lhes a capacidade de executar transações financeiras ilegais e retirar fundos sem autorização. Uma das vítimas relatou ao Group-IB que os hackers tentaram sacar dinheiro de sua conta, mas felizmente não tiveram êxito.
A busca pelos responsáveis
Até o momento, a identidade dos hackers por trás desses ataques permanece um mistério. Contudo, o Group-IB observou que os invasores estavam usando uma variedade de ferramentas maliciosas, incluindo o trojan VisualBasic conhecido como DarkMe. Esse trojan já foi vinculado ao grupo de ameaças “Evilnum“, uma organização motivada por lucro que tem como alvo instituições financeiras e plataformas de negociação.
Medidas de proteção e atualizações
O Group-IB prontamente relatou a vulnerabilidade, identificada como CVE-2023-38831, à Rarlab, a empresa responsável pelo WinRAR. Como resposta, uma versão atualizada do WinRAR (versão 6.23) foi lançada em 2 de agosto, corrigindo essa vulnerabilidade crítica. Especialistas em segurança cibernética e empresas de investimento estão recomendando que todos os usuários atualizem para essa versão mais recente o mais rápido possível, a fim de se proteger contra essas ameaças potenciais.