Falha Zero Day no WinRAR permitiu ataque de hackers por quatro meses

Vulnerabilidade no programa de compactação de arquivos fez com que scripts maliciosos fossem ativados por arquivos camuflados como .jpg e .txt

Felipe Freitas
Por
Malwares RAT enganam antivírus com arquivos poliglotas (imagem ilustrativa: Vitor Pádua/Tecnoblog)
Falha no WinRAR levou hackers a usarem cavalo de Troia para invadir computadores (Imagem: Vitor Pádua/Tecnoblog)

Uma vulnerabilidade no WinRAR foi usada por cibercriminosos para invadir contas bancárias e carteiras de criptomoedas. A falha de segurança do tipo Zero Day ficou por volta de quatro meses no ar. A Rarlab, empresa responsável pelo programa de compactação de arquivos, corrigiu o problema no início deste mês de agosto.

Vulnerabilidades do tipo “zero day” têm esse nome por causa da gravidade. O problema é tão perigoso para os usuários ou para a fabricante que exige uma correção imediata: em outras palavras, tem que corrigir no “dia 0” em que foi descoberto — a cada dia que passa, o estrago aumenta e pode causar danos irreparáveis para as vítimas.

Falha permitia rodar um cavalo de Troia nas máquinas

De acordo com a empresa de segurança Group-IB, que descobriu a falha, os cibercriminosos usavam a vulnerabilidade para esconder códigos maliciosos em arquivos camuflados, usando as extensões .jpg (imagem) e .txt (usado para textos do bloco de notas). Quando o usuário descompactava um arquivo, o script era rodado — um clássico ataque cavalo de Troia.

Os alvos dos cibercriminosos eram usuários de fóruns sobre finanças, que incluíam tópicos sobre investimentos e criptomoedas. Nessas comunidades, o grupo divulgava os arquivos compactados como se fosse algum recurso seguro. Os alvos os baixavam por acreditar que vinham de um usuário bem-intencionado.

Diagrama mostra como o script era ativado (Imagem: Divulgação/Group-IB)
Diagrama mostra como o script era ativado (Imagem: Divulgação/Group-IB)

Em alguns fóruns, os administradores perceberam que se tratava de um golpe e bloquearam os hackers, além de avisar os demais membros sobre a situação. A título de explicação, a Group-IB não revelou quais fóruns foram atacados pelos hackers. Se você participa de alguma comunidade (em língua inglesa) do tipo e suspeita que foi vítima de algo assim, vale verificar as suas contas e “passar” o antivírus no dispositivo.  

Após rodar o script, os cibercriminosos buscavam informações sobre as contas das vítimas em sites de banco, de corretoras e de carteiras de criptomoedas. Para o TechCrunch, a Group-IB informou que pelo menos 130 contas foram invadidas. No entanto, não há informação sobre o tamanho do prejuízo financeiro.

A empresa de cibersegurança disse não ser capaz de determinar quem é responsável pelo ataque. As suspeitas recaem sobre o grupo Evilnum, já que o script usado no arquivo foi identificado em outros ataques dele — além de focar suas ações contra instituições financeiras.

Com informações: Tech Crunch

Receba mais sobre Zero-day na sua caixa de entrada

* ao se inscrever você aceita a nossa política de privacidade
Newsletter
Felipe Freitas

Felipe Freitas

Repórter

Felipe Freitas é jornalista graduado pela UFSC, interessado em tecnologia e suas aplicações para um mundo melhor. Na cobertura tech desde 2021 e micreiro desde 1998, quando seu pai trouxe um PC para casa pela primeira vez. Passou pelo Adrenaline/Mundo Conectado. Participou da confecção de reviews de smartphones e outros aparelhos.

Relacionados

Como colocar senha em pastas [Windows]
Como colocar senha em pastas [Windows]
WinRAR elimina falha grave que existia há 19 anos
WinRAR elimina falha grave que existia há 19 anos
O que é um exploit de software ou hardware?
O que é um exploit de software ou hardware?
O que é o Ataque 51% em criptomoedas?
O que é o Ataque 51% em criptomoedas?
Google conserta sexto bug zero-day do Chrome em 2023
Google conserta sexto bug zero-day do Chrome em 2023
Como abrir arquivo .rar no Mac
Como abrir arquivo .rar no Mac
Atualização urgente do Google Chrome serve para remover falha de segurança
Atualização urgente do Google Chrome serve para remover falha de segurança
Hackers invadiram Microsoft graças a uma conta antiga sem 2FA
Hackers invadiram Microsoft graças a uma conta antiga sem 2FA
O que é um ataque DDoS?
O que é um ataque DDoS?
Google Chrome tem nova falha grave de segurança sendo usada por hackers
Google Chrome tem nova falha grave de segurança sendo usada por hackers