Vulnerabilitatea, identificată ca CVE-2023-38831, a fost rapid corectată de dezvoltatorii WinRAR, cu o versiune beta lansată pe 20 iulie și o versiune stabilă (6.23) pe 2 august. Cu toate acestea, există dovezi care indică faptul că vulnerabilitatea a fost exploatată de actorii amenințării încă din aprilie 2023.
Vulnerabilitatea este legată de modul în care WinRAR procesează fișierele ZIP și permite atacatorilor să execute cod malițios convingând utilizatorul țintă să deschidă o arhivă special construită. Arhiva malițioasă poate fi mascată sub forma unui fișier inofensiv .txt sau .jpg, ceea ce mărește șansele de exploatare cu succes.
Criminalii cibernetici au postat arhivele pe cel puțin opt forumuri de tranzacționare populare într-un efort de a convinge traderii să instaleze malware pe sistemele lor. Firma de securitate cibernetică a menționat că nu este clar câte persoane și-au avut sistemele infectate, dar au fost conștienți de 130 de dispozitive infectate în momentul divulgării lor de miercuri.
Pe sistemele infectate hackerii au obținut acces la conturile brokerului victimei și au încercat să efectueze tranzacții neautorizate și să retragă fonduri. Nu este clar câți bani au reușit să fure. Cu toate acestea, în cel puțin câteva cazuri, criminalii cibernetici au cauzat pierderi foarte mici, cum ar fi 2 dolari.
Deși WinRAR este un software foarte popular, nu este des întâlnit să auzim despre vulnerabilități exploatate. Catalogul CISA al Vulnerabilităților Exploatate Cunoscute listează doar o singură vulnerabilitate: CVE-2018-20250, pe care hackerii au exploatat-o acum câțiva ani pentru a livra malware.