Los “bugs (o exploits) de día cero” son fallos de seguridad en un programa informático que los hackers pueden aprovechar para atacar a los usuarios antes de que el desarrollador se dé cuenta y lo arregle. Este tipo de bugs, que son toda una pesadilla para las compañías de software, suelen detectarse poco después del lanzamiento del programa, aunque otras veces perduran años y años, sin ser descubiertos.
Recientemente, se ha detectado que varios grupos de hackers respaldados por los gobiernos de Rusia y China que están aprovechándose de un exploit de día cero del popular programa de comprensión de archivos WinRAR para infectar los ordenadores de sus víctimas.
Este fallo de seguridad, conocido como CVE-2023-38831, se descubrió en agosto de este año y se solucionó con una actualización de WinRAR (la versión 6.23), pero muchos usuarios no han actualizado el programa y siguen expuestos al ataque. Por eso, el Grupo de Análisis de Amenazas (TAG) de Google ha encontrado evidencias de que varios grupos de hackers patrocinados por Rusia y China están explotando este bug de día cero para llevar a cabo sus operaciones.
Según recoge TechCrunch, uno de estos grupos es el llamado Sandworm, una unidad de inteligencia militar rusa que se dedica a realizar ataques cibernéticos destructivos, como el que lanzó en 2017 con el ransomware NotPetya, que paralizó la red eléctrica de Ucrania.
Los investigadores de Google observaron que Sandworm usó el bug de WinRAR a principios de septiembre como parte de una campaña de correo electrónico malicioso que se hacía pasar por una escuela de entrenamiento de drones militares en Ucrania. Los correos contenían un enlace a un archivo comprimido que explotaba el fallo de WinRAR y, al abrirlo, instalaba un malware que robaba las contraseñas del navegador.
Otro grupo de hackers que está usando el bug de WinRAR es el conocido como APT28 o Fancy Bear, vinculado al gobierno ruso y famoso por su implicación en el hackeo del Comité Nacional Demócrata de Estados Unidos en 2016.
Según los investigadores, Fancy Bear utilizó el bug de WinRAR para atacar a usuarios en Ucrania haciéndose pasar por un centro de estudios políticos del país. Dichos correos incluían un archivo comprimido que, al abrirse, instalaba un malware que permitía controlar remotamente el ordenador.
Por último, Google también encontró pruebas de que el grupo APT40, respaldado por el gobierno chino y vinculado al Ministerio de Seguridad del Estado, abusó del bug de WinRAR como parte de una campaña de phishing dirigida a usuarios en Papúa Nueva Guinea. Estos correos electrónicos incluían un enlace de Dropbox a un archivo comprimido que contenía el exploit CVE-2023-38831.
Como ves, estos grupos de hackers no se andan con chiquitas y usan cualquier recurso a su alcance para conseguir sus fines. Por eso mismo, es muy importante que mantengas WinRAR actualizado y no descargues ni abras archivos comprimidos sospechosos.
