Các tin tặc được cho là đã khai thác một lỗ hổng đã biết trong các phiên bản lỗi thời của WinRAR, công cụ nén phổ biến thế giới với hơn 500 triệu người dùng. TAG cho biết trong một bài đăng trên blog rằng “Để đảm bảo khả năng bảo vệ, chúng tôi kêu gọi các tổ chức và người dùng luôn cập nhật phần mềm đầy đủ và cài đặt các bản cập nhật bảo mật ngay khi chúng có sẵn”.
Lỗ hổng tồn tại trong tất cả các sản phẩm WinRAR của RARLAB trước phiên bản 6.23 được phát hành vào tháng 8, ngay sau khi lỗi được phát hiện. Lỗ hổng này đã được Group-IB phát hiện, xác định cách tin tặc có thể xâm nhập vào một diễn đàn tài chính chứa đầy các nhà giao dịch, lây nhiễm 130 thiết bị của thành viên diễn đàn và rút tiền từ tài khoản môi giới của họ.
Andrey Polovinkin, nhà phân tích phần mềm độc hại tại Group-IB, đã viết trong một bài đăng trên blog vào tháng 8 rằng: “Tội phạm mạng đang khai thác một lỗ hổng cho phép chúng giả mạo các phần mở rộng tệp. Chúng có thể che giấu việc khởi chạy tập lệnh độc hại trong kho lưu trữ giả mạo dưới dạng '.jpg', '.txt' hoặc bất kỳ định dạng tệp nào khác.”
Google xác định nhóm hacker Sandworm đứng đằng sau cuộc tấn công khai thác lỗ hổng này. Một nhóm khác có APT 40 cũng được xác định tấn công vào lỗ hổng.
Trong một ghi chú trên phiên bản 6.23 của WinRAR, RARLAB đã cảm ơn Group-IB và Zero Day Initiative vì đã thông báo cho họ về lỗ hổng này và “khuyến khích người dùng nên cài đặt phiên bản mới nhất”.
Từ lâu, người ta đã hiểu rằng người dùng không cập nhật phần mềm của họ nhiều như họ cần, đặc biệt là những người bắt đầu không thoải mái lắm khi sử dụng máy tính.
Nhóm TAG của Google cho biết: “Các chiến dịch gần đây khai thác lỗi WinRAR nhấn mạnh tầm quan trọng của việc vá lỗi và vẫn còn nhiều việc phải làm để giúp người dùng dễ dàng giữ phần mềm của họ an toàn và cập nhật”.
Thái An
