Срочно обновите WinRAR: хакеры ГРУ РФ взламывают украинцев через популярный архиватор

Хакеры группировки Sandworm, которую связывают главным разведывательным управлением (ГРУ) России, а также китайские киберпреступники используют уязвимость популярного архиватора WinRAR для взлома компьютеров, в том числе в Украине. Об этой угрозе киберспециалисты компании Google предупредили в своем блоге.

Как показало исследование, злоумышленники используют уязвимость под названием CVE-2023-3883, чтобы тайно "заражать" и атаковать компьютеры своих жертв. Они рассылают разным пользователям из Украины электронные письма с документом-приманкой в формате PDF якобы с программой обучения операторов дронов и ZIP-файлом, содержащим "вирус". Специалисты обнаружили в файле "Навчальна-програма-Оператори.pdf/Навчальна-програма-Оператори.pdf_.batʼ программу Rhadamanthys — это похититель информации, который, помимо прочего, способен собирать учетные данные браузера и информацию о действиях пользователя. Такой "инфокрад" распространяется хакерами по подписке за 250$ на 30 дней.

В Google пишут, что уязвимость есть у старых версий WinRAR, но в самой свежей версии 6.24 разработчики срочно ее исправили. Чтобы избежать риска, пользователям следует обновить свой архиватор, скачав инсталятор на официальном сайте разработчика, а не из каких-либо других источников. В списке можно выбрать нужный язык программы.

Напомним, программа является условно-бесплатной. Ей можно пользоваться свободно, но каждый раз вам будет демонстрироваться окошко с предложением оплатить продукт, после закрытия которого вы можете и дальше пользоваться WinRAR. Если вам нравится программа, то, конечно, стоит поддержать разработчика и купить пожизненную лицензию.

Как отмечают киберспециалисты Google, хотя разработчики уже устранили уязвимость в архиваторе, но проблема заключается в том, что далеко не все из 500 миллионов пользователей программы ее обновляют после того, как ее установили когда-то на свой ПК. WinRAR не умеет обновляться самостоятельно, а поскольку он исправно выполняет свою работу годами, то люди просто забывают о том, что программы нужно периодически обновлять не только ради новых функций, но и для устранения обнаруженных уязвимостей.

Эту же уязвимость используют и российские хакеры из Fancy Bear, создав фишинговую (поддельную) страницу, чтобы обманом заставить украинских пользователей загрузить ZIP-файл, который также может использовать уязвимость WinRAR. Документом-ловушкой было приглашение на мероприятие от аналитического Центра Разумкова.

Кстати, обнаруженной уязвимостью пользуются коллеги российских хакеров из Китая — группировка APT40, запустила фишинговую кампанию, нацеленную на пользователей в Папуа-Новой Гвинее. "Фишинговые электронные письма содержали ссылку Dropbox на ZIP-архив, содержащий эксплойт CVE-2023-38831, PDF-файл-приманку, защищенный паролем, и файл LNK", — сообщает Google. В результате можно тайно загрузить бэкдор (зловредная программа для удаленного доступа к компьютеру) на ПК пользователей.

Ранее Фокус сообщал, что хакеры подделывают необходимость обновить браузер Google Chrome с помощью всплывающего окна. Этого ни в коем случае не стоит делать.