Falha grave no WinRAR era usada para roubar criptomoedas; entenda

A brecha vinha sendo explorada desde abril, tendo como alvos os entusiastas dos ativos digitais

André Luiz Dias Gonçalves

24/08/2023, às 10:15

Fonte: Group-IB/Reprodução

Imagem de Falha grave no WinRAR era usada para roubar criptomoedas; entenda no tecmundo

Pesquisadores de segurança descobriram uma nova vulnerabilidade grave no WinRAR que estava sendo aproveitada por cibercriminosos para roubar carteiras de criptomoedas. A falha do tipo zero day vinha sendo explorada ativamente desde abril, segundo a empresa Group-IB, responsável por identificá-la, na quarta-feira (23).

De acordo com o relatório, a brecha era usada para esconder códigos maliciosos em arquivos supostamente inofensivos, como documentos (.PDF), imagens (.JPG) e textos (.TXT). Ao descompactar o material compartilhado pelos cibercriminosos, um script era executado no dispositivo da vítima.

Leia mais: Vulnerabilidade grave no WinRAR permitia acessos remotos em PCs Windows

Método usado pelos cibercriminosos para infectar o dispositivo da vítima.

A ação possibilitava a instalação de programas maliciosos no computador do alvo, que permitia que os invasores vasculhassem a máquina em busca de informações financeiras. Eles procuravam dados sobre contas bancárias acessadas ali, corretoras de criptomoedas e carteiras para o gerenciamento de moedas digitais.

Leia também: Possível acordo entre Amazon e governo brasileiro levanta preocupações sobre soberania

Usando a falha grave no WinRAR, os autores distribuíam pelo menos três famílias de malwares, como DarkMe, GuLoader e Remcos RAT, que forneciam acesso remoto ao dispositivo. Segundo a empresa de segurança, as mesmas ameaças virtuais já foram observadas em outros ataques cibernéticos com motivação financeira.

Confira: Site brasileiro de acompanhantes pode ter exposto mais de 18 milhões de dados

Investidores como alvo

O grupo que explorava a falha zero day no WinRAR começou a espalhar arquivos maliciosos em fóruns focados em negociações de criptoativos. Comunidades que tratavam de ações e outros investimentos também eram alvos.

Se passando por investidores de sucesso, os invasores distribuíam o material malicioso como se fossem dicas e ferramentas seguras. Pelo menos 130 dispositivos de traders foram infectados, mas não há informações sobre a quantidade exata de pessoas afetadas nem as quantias roubadas.

Veja também: HotRat: veja detalhes sobre novo malware que pode estar no seu PC

Registrada como CVE-2023-38831, a falha descoberta em julho foi corrigida na atualização mais recente do programa, lançada no início deste mês. Dessa forma, é recomendável baixar o WinRAR 6.23 imediatamente para obter a solução. Vale destacar que o update também corrige outra brecha de alta gravidade recém-encontrada no programa.