شناسایی یک آسیب پذیری بزرگ امنیتی در WinRAR

WinRAR، یک ابزار معروف فشرده‌سازی فایل برای ویندوز که توسط میلیون‌ها نفر در سراسر جهان استفاده می‌شود، دارای یک آسیب‌پذیری است که به هکرها امکان سرقت پول از معامله‌گران را می‌دهد.

به گزارش تکناک، شرکت امنیت سایبری Group-IB درباره یک آسیب‌پذیری روز صفر در WinRAR خبر می‌دهد که تأثیری بر پردازش فرمت فایل ZIP توسط این ابزار فشرده‌سازی دارد. برای کسانی که آگاه نیستند، یک آسیب‌پذیری روز صفر ضعفی در یک سیستم یا دستگاه است که اعلام شده است اما هنوز برطرف نشده است.

به نظر می‌رسد که این آسیب‌پذیری به هکرها امکان می‌دهد اسکریپت‌های مخرب را در فایل‌های آرشیو قرار داده و آنها را به نظر بی‌خطر و بدون آسیب به نظر برسانند، مانند تصاویر JPEG یا فایل‌های متنی.

باز کردن فایل مخرب توسط کاربر هدف، به هکرها امکان دسترسی به کامپیوتر آنها و سرقت اطلاعات شخصی آنها، از جمله مدارک اعتباری حساب‌های مالی، را می‌دهد. در مورد معامله‌گران، این امر به هکرها اجازه می‌دهد تا معاملات غیرمجاز انجام داده یا سود حاصل از حساب قربانی را برداشت کنند.

گزارشات حاکی از آن است که دستگاه‌های حداقل ۱۳۰ معامله‌گر آلوده شده‌اند، با این حال هنوز اخباری درباره خسارت‌های مالی گزارش نشده است. به طور قابل توجهی، یکی از قربانیان به محققان Group-IB گفت که هکرها تلاش کردند تا پول او را برداشت کنند، اما نتوانستند این کار را انجام دهند.

منبع می‌گوید که از آوریل به بعد، هکرها از این آسیب‌پذیری برای انتشار آرشیوهای ZIP مخرب در انجمن‌های تخصصی معاملات استفاده کرده‌اند. با توجه به گزارش منبع، این فایل‌های آرشیو مضر در حداقل هشت انجمن عمومی که درباره زمینه‌های مختلف معاملات، که سرمایه‌گذاری و ارزهای رمزنگاری را نیز شامل می‌شوند، ظاهر شده‌اند. با این حال، نام این انجمن‌ها فاش نشده است.

وب سایت TechCrunch  در متن خود به این صورت نوشته است: انجمن نیز تلاش کرده است تا حساب‌هایی که توسط حملات‌کنندگان استفاده شده‌اند را مسدود کند، اما Group-IB شواهدی را مشاهده کرده است که نشان می‌دهد هکرها “توانایی باز کردن حساب‌هایی که توسط مدیران انجمن غیرفعال شده‌اند را دارند تا به انتشار فایل‌های مخرب ادامه دهند، حتی از طریق ارسال در تاپیک ها یا پیام های خصوصی.”

هویت هکرها که از آسیب‌پذیری Zero-day در WinRAR بهره‌برداری می‌کنند، نامعلوم است. با این حال، شرکت امنیت سایبری Group-IB به TechCrunch اعلام کرده است که هکرها از DarkMe استفاده می‌کنند، یک تروجان VisualBasic که پیش از این به گروه تهدیدگر “Evilnum” مرتبط شده است.

گفته می‌شود که شرکت امنیت سایبری این آسیب‌پذیری را که با شماره شناسایی CVE-2023-38831 مشخص شده است، به سازنده WinRAR یعنی Rarlab گزارش داده است و این شرکت در تاریخ ۲ اوت نسخه WinRAR 6.23 را منتشر کرده است که این مشکل را برطرف می‌کند.