Терміново оновіть WinRAR: хакери ГРУ РФ зламують українців через популярний архіватор

Хакери угруповання Sandworm, яке пов'язують із головним розвідувальним управлінням (ГРУ) Росії, а також китайські кіберзлочинці використовують уразливість популярного архіватора WinRAR для злому комп'ютерів, зокрема в Україні. Про цю загрозу кіберфахівці компанії Google попередили у своєму блозі.

Як показало дослідження, зловмисники використовують уразливість під назвою CVE-2023-3883, щоб таємно заражати й атакувати комп'ютери своїх жертв. Вони розсилають різним користувачам із України електронні листи з документом-приманкою у форматі PDF нібито з програмою навчання операторів дронів і ZIP-файлом, що містить вірус. Фахівці виявили у файлі "Навчальна-програма-Оператори.pdf/Навчальна-програма-Оператори.pdf_.bat" програму Rhadamanthys — це викрадач інформації, який, зокрема, здатний збирати облікові дані браузера й інформацію про дії користувача. Такий "інфокрад" поширюється хакерами за передплатою за 250$ на 30 днів.

У Google пишуть, що вразливість є в старих версій WinRAR, але в найсвіжішій версії 6.24 розробники її терміново виправили. Щоб уникнути ризику, користувачам слід оновити свій архіватор, завантаживши інсталятор на офіційному сайті розробника, а не з будь-яких інших джерел. У списку можна вибрати потрібну мову програми.

Нагадаємо, програма є умовно-безплатною. Нею можна користуватися вільно, але щоразу вам демонструватиметься віконце з пропозицією оплатити продукт, після закриття якого ви можете й далі користуватися WinRAR. Якщо вам подобається програма, то, звісно, варто підтримати розробника та купити довічну ліцензію.

Як зазначають кіберфахівці Google, хоча розробники вже усунули вразливість в архіваторі, проблема полягає в тому, що далеко не всі з 500 мільйонів користувачів програми її оновлюють після того, як її встановили колись на свій ПК. WinRAR не вміє оновлюватися самостійно, а оскільки він справно виконує свою роботу роками, то люди просто забувають про те, що програми потрібно періодично оновлювати не тільки заради нових функцій, а й для усунення виявлених вразливостей.

Цю саму вразливість використовують і російські хакери з Fancy Bear, створивши фішингову (підроблену) сторінку, щоб обманом змусити українських користувачів завантажити ZIP-файл, який також може використовувати вразливість WinRAR. Документом-пасткою було запрошення на захід від аналітичного Центру Разумкова.

До речі, виявленою вразливістю користуються колеги російських хакерів із Китаю — угруповання APT40 запустило фішингову кампанію, націлену на користувачів у Папуа-Новій Гвінеї. "Фішингові електронні листи містили посилання Dropbox на ZIP-архів, що містить експлойт CVE-2023-38831, PDF-файл-приманку, захищений паролем, і файл LNK", — повідомляє Google. У результаті можна таємно завантажити бекдор (шкідлива програма для віддаленого доступу до комп'ютера) на ПК користувачів.

Раніше Фокус повідомляв, що хакери підробляють необхідність оновити браузер Google Chrome за допомогою спливального вікна. Цього в жодному разі не варто робити.