[ziesell]

Zitat:

Krypto und mehr: Hacker greifen Investoren über Winrar-Schwachstelle an

Eine vor drei Wochen gepatchte Schwachstelle in Winrar bringt Investoren um ihr Geld. Hacker nutzen die Lücke schon seit April aktiv aus.



Cyberkriminelle nutzen eine bereits gepatchte Sicherheitslücke im weitverbreiteten Archivierungstool Winrar aus, um sich Zugang zu Benutzerkonten von Investitionsplattformen zu verschaffen und Gelder zu stehlen. Entdecker der als CVE-2023-38831 registrierten Schwachstelle ist den Release Notes der aktuellen Version 6.23 des Packprogramms zufolge ein Sicherheitsforscher namens Andrey Polovinkin von der Group-IB Threat Intelligence Unit.

Wie Techcrunch berichtet, soll es damit möglich sein, bösartige Skripte in Archivdateien zu verstecken, die sich unter anderem als JPG- oder TXT-Datei tarnen. Der Code wird automatisch ausgeführt, sobald ein Benutzer eine der präparierten Dateien per Doppelklick öffnet.

Angriffe laufen schon seit Monaten

Aktiv ausgenutzt werde die Schwachstelle laut Group-IB bereits seit April, indem Hacker die modifizierten Archive in verschiedenen Handelsforen verbreiten, die "ein breites Spektrum an Handels-, Investitions- und Kryptowährungsthemen abdecken". Um welche Foren es sich dabei genau handelt, ließ das Unternehmen jedoch unbeantwortet.

Dort habe es auch teilweise Maßnahmen wie Warnhinweise an die Nutzer oder Sperrungen der Benutzerkonten der Hacker gegeben, um eine weitere Verbreitung der bösartigen Archive zu verhindern. Jedoch sei es den Angreifern in einigen Fällen gelungen, ihre Konten zu reaktivieren und ihre Malware weiter durch Forenbeiträge und private Nachrichten zu verbreiten.

Sobald ein Nutzer eines der schädlichen Archive öffnet, sollen die Hacker Zugriff auf dessen Broker-Konten erhalten und dort Finanztransaktionen auslösen können. Wie das technisch im Detail funktioniert und ob die Angreifer dafür zunächst noch weitere Sicherheitsbarrieren überwinden müssen, geht aus dem Bericht allerdings nicht hervor.

Verdacht fällt auf Evilnum-Hacker

Wer genau hinter den Angriffen steckt, sei ebenfalls noch nicht abschließend geklärt. Zwar habe Group-IB festgestellt, dass die Hacker einen Trojaner namens Darkme einsetzen, der bereits mit einer Hackergruppe namens Evilnum (TA4563) in Verbindung gebracht wurde, jedoch sei eine eindeutige Zuordnung zu dieser Gruppe bisher noch nicht möglich.

Anwendern, die noch eine Winrar-Version vor 6.23 nutzen, wird dringend dazu geraten, das schon am 2. August von Rarlab bereitgestellte Update zu installieren. Dieses schließt auch noch eine andere schwerwiegende Sicherheitslücke, die es Angreifern erlaubt, durch das bloße Öffnen eines speziell präparierten Rar-Archivs durch den Benutzer böswilligen Code auf dessen Windows-System auszuführen.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]

[g0tttt]

Was mich dabei nur wundert, braucht Winrar nicht Admin-Rechte um etwas ausführen zu können?Oder kann dieser Exploit das überspringen?

Mich wundert auch dass bislang über Cracks noch nicht wirklich oft sowas verbreitet worden ist, weil da führen es ja genug Leute dann aus, selbst wenn es eine Viruswarnung gibt. Weil ist ja "false positive" immer :P