WinRAR: Κατεβάστε άμεσα το patch λόγω σοβαρού κενού ασφαλείας
Η ομάδα ανάλυσης απειλών της Google, η οποία συνήθως παρακολουθεί και αναλύει τους κρατικά χρηματοδοτούμενους φορείς hacking, ισχυρίζεται πως κρατικά υποστηριζόμενοι φορείς απειλών από τη Ρωσία και την Κίνα εκμεταλλεύονται μια γνωστή ευπάθεια στο δημοφιλές εργαλείο WinRAR για να αποσπάσουν ευαίσθητες πληροφορίες, όπως κωδικούς πρόσβασης και άλλα διαπιστευτήρια σύνδεσης.
Η Ομάδα TAG αναφέρει πως βρήκε στοιχεία που αποδεικνύουν ότι το κενό ασφαλείας, το οποίο είχε προσδιοριστεί παλαιότερα ως CVE-2023-38831 από την Group-IB, χρησιμοποιήθηκε για την απόκρυψη κακόβουλου λογισμικού σε αρχειοθετημένα αρχεία.
Για τον μέσο άνθρωπο, τα αρχεία θα έμοιαζαν με μια συνηθισμένη εικόνα ή ένα έγγραφο κειμένου. Ωστόσο, όταν τα κατέβαζαν και τα εξήγαγαν, μόλυναν την συσκευή τους με κακόβουλο λογισμικό infostealing, ικανό να αρπάξει διάφορα αρχεία και πληροφορίες, όπως κωδικούς πρόσβασης και δεδομένα πληρωμών που είναι αποθηκευμένα σε προγράμματα περιήγησης, διάφορες πληροφορίες συστήματος και άλλα.
Το χειρότερο είναι ότι δεν πρόκειται μόνο για μία ή δύο ομάδες που στοχεύουν χρήστες του WinRAR - προφανώς, πρόκειται για "πολλαπλές" ομάδες που στοχεύουν "πολλούς χρήστες" οι οποίοι δεν έχουν εγκαταστήσει ακόμα το patch.
Το patch είναι διαθέσιμο από τις αρχές Αυγούστου, καθώς η RarLab, η εταιρεία πίσω από το WinRAR, κυκλοφόρησε την έκδοση 6.23 για να αντιμετωπίσει το πρόβλημα. Ωστόσο, δεν υπάρχει τρόπος να ενημερώσετε το πρόγραμμα από μέσα. Οι χρήστες πρέπει να μεταβούν στην ιστοσελίδα του WinRAR, να κατεβάσουν την τελευταία έκδοση και να εγκαταστήσουν το πρόγραμμα από την αρχή.
Όσοι χρησιμοποιείτε το WinRAR καλό θα είναι να εγκαταστήσετε το patch άμεσα, καθώς μία από τις ομάδες που αναγνωρίστηκε είναι η Sandworm, μια ρωσική μονάδα στρατιωτικής αντικατασκοπείας που φέρεται να παρενέβη στις προεδρικές εκλογές του 2016 στις ΗΠΑ. Παρατηρήθηκε επίσης ως αρκετά ενεργός παίκτης στον πόλεμο Ρωσίας-Ουκρανίας και ήταν πίσω από την περιβόητη επίθεση ransomware NotPetya του 2017.
Επιπλέον, έχει αναγνωριστεί και η APT40, μια κινεζική συλλογικότητα χάκερ που φέρεται να συνδέεται με το κινεζικό Υπουργείο Κρατικής Ασφάλειας. Η APT40 εκμεταλλεύτηκε το κενό ασφαλείας για να στοχεύσει τερματικά σημεία στην Παπούα Νέα Γουινέα μέσω ενός link του Dropbox.
[via]