Theo TechRadar, những lo ngại về bảo mật của phần mềm nén tệp phổ biến WinRAR đã được cảnh báo lần đầu tiên vào đầu năm 2022, khi tin tặc đã lợi dụng các lỗ hổng tồn tại trong phần mềm này để tấn công người dùng đầu cuối.

Giờ đây, tình trạng này tiếp tục lặp lại khi có báo cáo mới về việc một tin tặc có biệt danh APT29, hay còn được biết đến là Cosy Bear/NOBELIUM, đang khai thác lỗ hổng của WinRAR để tấn công các cơ quan chính phủ.

Theo báo cáo của Bleeping Computer, Hội đồng Quốc phòng và An ninh Quốc gia Ukraine (NDSC) tuyên bố họ đã quan sát thấy APT29 nhắm mục tiêu vào các cơ quan chính phủ bằng các email lừa đảo với lỗ hổng có mã CVE-2023-38831.

CVE-2023-38831 là một lỗ hổng trong chương trình nén tệp WinRAR, được phát hiện vào tháng 4 năm nay. Nó cho phép tin tặc tạo các tệp nén .RAR và .ZIP có khả năng thực thi mã độc ở chế độ nền, trong khi nạn nhân đang chú ý đến các nội dung được chia sẻ bên trong tệp nén. Phần mềm độc hại do APT29 triển khai có khả năng đánh cắp thông tin, lấy mật khẩu được lưu trong trình duyệt, tài liệu mật, thông tin hệ thống…

Theo báo cáo, APT29 đang nhắm mục tiêu vào các tổ chức chính phủ ở Azerbaijan, Hy Lạp, Romania và Ý. Các nạn nhân sẽ nhận được email giả mạo chào bán một chiếc xe BMW và khi họ đang tập trung xem hình ảnh chiếc xe, phần mềm độc hại sẽ được cài đặt một cách âm thầm.

Lỗ hổng CVE-2023-38831 ảnh hưởng đến phần mềm WinRAR các phiên bản cũ hơn 6.23. Công ty RAR Labs đã phát hành một bản vá cách nay vài tháng, khuyên tất cả người dùng nên cài đặt phiên bản này.