Терміново оновіть WinRAR: хакери ГРУ РФ зламують українців через популярний архіватор

Хакер, уразливість, злом
Фото: колаж Фокус | Хакери намагаються зламати комп'ютери українців

Віруси розсилають від імені української школи дронів або Центру Разумкова, які використовують лазівку в старих версіях архіваторів WinRar.

Хакери угруповання Sandworm, яке пов'язують із головним розвідувальним управлінням (ГРУ) Росії, а також китайські кіберзлочинці використовують уразливість популярного архіватора WinRAR для злому комп'ютерів, зокрема в Україні. Про цю загрозу кіберфахівці компанії Google попередили у своєму блозі.

Як показало дослідження, зловмисники використовують уразливість під назвою CVE-2023-3883, щоб таємно заражати й атакувати комп'ютери своїх жертв. Вони розсилають різним користувачам із України електронні листи з документом-приманкою у форматі PDF нібито з програмою навчання операторів дронів і ZIP-файлом, що містить вірус. Фахівці виявили у файлі "Навчальна-програма-Оператори.pdf/Навчальна-програма-Оператори.pdf_.bat" програму Rhadamanthys — це викрадач інформації, який, зокрема, здатний збирати облікові дані браузера й інформацію про дії користувача. Такий "інфокрад" поширюється хакерами за передплатою за 250$ на 30 днів.

хакери, Sandworm, WinRAR Fullscreen
Документ-пастка російських хакерів
Фото: Google

У Google пишуть, що вразливість є в старих версій WinRAR, але в найсвіжішій версії 6.24 розробники її терміново виправили. Щоб уникнути ризику, користувачам слід оновити свій архіватор, завантаживши інсталятор на офіційному сайті розробника, а не з будь-яких інших джерел. У списку можна вибрати потрібну мову програми.

Нагадаємо, програма є умовно-безплатною. Нею можна користуватися вільно, але щоразу вам демонструватиметься віконце з пропозицією оплатити продукт, після закриття якого ви можете й далі користуватися WinRAR. Якщо вам подобається програма, то, звісно, варто підтримати розробника та купити довічну ліцензію.

Як зазначають кіберфахівці Google, хоча розробники вже усунули вразливість в архіваторі, проблема полягає в тому, що далеко не всі з 500 мільйонів користувачів програми її оновлюють після того, як її встановили колись на свій ПК. WinRAR не вміє оновлюватися самостійно, а оскільки він справно виконує свою роботу роками, то люди просто забувають про те, що програми потрібно періодично оновлювати не тільки заради нових функцій, а й для усунення виявлених вразливостей.

Цю саму вразливість використовують і російські хакери з Fancy Bear, створивши фішингову (підроблену) сторінку, щоб обманом змусити українських користувачів завантажити ZIP-файл, який також може використовувати вразливість WinRAR. Документом-пасткою було запрошення на захід від аналітичного Центру Разумкова.

хакери, WinRAR, Fancy Bear Fullscreen
Ще один документ-пастка, який розсилають хакери
Фото: Google

До речі, виявленою вразливістю користуються колеги російських хакерів із Китаю — угруповання APT40 запустило фішингову кампанію, націлену на користувачів у Папуа-Новій Гвінеї. "Фішингові електронні листи містили посилання Dropbox на ZIP-архів, що містить експлойт CVE-2023-38831, PDF-файл-приманку, захищений паролем, і файл LNK", — повідомляє Google. У результаті можна таємно завантажити бекдор (шкідлива програма для віддаленого доступу до комп'ютера) на ПК користувачів.

Раніше Фокус повідомляв, що хакери підробляють необхідність оновити браузер Google Chrome за допомогою спливального вікна. Цього в жодному разі не варто робити.