خطر در کمین تریدرهای فارکس

هکرها از حفره امنیتی در نرم‌افزار WinRAR برای حمله سایبری به معامله‌گران فارکس و دیگر بازارهای مالی و خالی کردن حساب‌های معاملاتی آن‌ها استفاده می‌کنند. پیشنهاد می‌شود که معامله‌گران فوران WinRAR را بروزرسانی کنند.

این آسیب‌پذیری که با نام CVE-2023-38831 دسته‌بندی شده است، به هکرها امکان جعل کردن افزونه‌های فایل و اجرای کدهای بدافزاری درون یک آرشیو را که در ظاهر نوعی فایل عکس یا فایل متنی بی‌خطر است، می‌دهد. آسیب‌پذیری یاد شده همراه با آسیب‌پذیری  CVE-2023-40477 در نسخه ۶.۲۳ نرم‌افزار WinRAR که در دوم آگوست ۲۰۲۳ (۱۱ مرداد ۱۴۰۲) منتشر شد، برطرف شده است.

در حملاتی که شرکت سنگاپوری Group-IB در جولای ۲۰۲۳ کشف کرده است، فایل‌های آرشیو ZIP یا RAR خاصی در بعضی از معروف‌ترین انجمن‌های معامله‌گری مثل Forex Station، با هدف توزیع چندین خانواده از بدافزارها مثل DarkMe، GuLoader و Remcos RAT، منتشر شده‌اند.

مجرمین سایبری اجرا کننده این حملات، پس از آلوده کردن دستگاه‌های قربانیان، از حساب‌های معاملاتی آن‌ها پول برداشت کرده‌اند. تاکنون مشخص شده است که دستگاه‌های بیش از ۱۳۰ معامله‌گر، با این روش هک شده‌اند ولی تعداد واقعی قربانیان و زیان‌های مالی وارد آمده به آن‌ها در نتیجه چنین حملاتی نامشخص است.

این فایل‌های آرشیو تله‌گذاری‌شده حاوی یک فایل عکس و فولدری با همان نام هستند. در نتیجه، وقتی قربانی روی فایل عکس کلیک می‌کند، بچ اسکریپت موجود در فایل عکس اجرا می‌شود که آن نیز به نوبه خودش یک فایل آرشیو SFX را اجرا می‌کند. این فایل SXF پس از اجرا شدن، تعدادی فایل دیگر را اسخراج و اجرا می‌کند. بچ اسکریپت، به طور همزمان، تصویر را نیز نمایش می‌دهد تا سبب مشکوک شدن کاربر نشود.

به گزارش The Hacker News، آسیب‌پذیری CVE-2023-38831 در نتیجه خطایی پردازشی در باز کردن فایل در آرشیو ZIP ایجاد می‌شود. آرشیو‌های ZIP آلوده شده به بدافزار، حداقل در ۸ انجمن محبوب معامله‌گری توزیع شده‌اند و بنابراین، توزیع جغرافیایی قربانیان، بسیار گسترده است و این نوع حملات محدود به کشور خاصی نبوده‌اند.