En junio la compañía de seguridad informática Group-IB descubrió una importante vulnerabilidad en el programa WinRAR. El defecto había surgido con la última versión del software. Este tipo de situaciones no es algo fuera de lo común y en ocasiones la advertencia llega antes de que alguien con malas intenciones se haya aprovechado. Lamentablemente no ocurrió así.
El defecto está vinculado al modo en que el programa de compresión procesa los archivos ZIP. Los criminales informáticos lo han aprovechado para ocultar scripts maliciosos dentro de archivos que utilizan las extensiones JPG y TXT pero en realidad tienen otra naturaleza.
Foros de intercambio como objetivos
Según Group-IB la vulnerabilidad ha sido aprovechada desde abril. Los objetivos han sido los foros de intercambio financiero. Al menos 8 de ellos han sido afectados. Dentro de esta categoría los criminales no parecen tener una preferencia concreta, han atacado desde espacios de inversión hasta lugares dedicados a las criptomonedas.
Aunque en ocasiones los moderadores se han percatado de la presencia de los agresores, las advertencias y los bloqueos de cuentas parecen no haber sido suficientes. Los criminales a menudo lograron reactivar las cuentas.
La idea de los atacantes era apoderarse de las cuentas y realizar operaciones ilegales para apropiarse de los fondos de sus víctimas. No existe información sobre que tan exitosos han sido a nivel económico con sus acciones.
Responsables y parche
El malware empleado para estas acciones ha sido DarkMe, un troyano asociado con el grupo Evilnum. Evilnum es conocido por atacar organizaciones financieras y plataformas de intercambio. Sin embargo, no existe mayor evidencia que confirme su participación.
El 2 de agosto se lanzó la versión 6.23 de WinRAR para corregir la vulnerabilidad mencionada.
