Un gruppo di hacker, noto con il nome di Head Mare, sta sfruttando una vulnerabilità di WinRAR per nascondere malware nei file archiviati. Secondo quanto riportato dal sito Techradar, il collettivo sembra essere particolarmente attivo nel contesto di Russia e Bielorussia, prendendo di mira aziende di vario tipo.
Il modus operandi particolare, potrebbe facilmente ricondurre Head Mare nel contesto dell’hacktivismo, più precisamente per quanto concerne il conflitto tra Russia e Ucraina. Al momento attuale, secondo le stime, l’attacco avrebbe mietuto be nove vittime tra agenzie governative, trasporti e intrattenimento.
Secondo quanto emerso, il gruppo avrebbe utilizzato X per diffondere i dati delle vittime, mostrando screenshot, codici amministrativi, documenti e altri dati riservati. Una volta ottenuto accesso al dispositivo preso di mira, gli hacker agiscono crittografando i dispositivi con Lockbit o Babuk.
L’attacco tramite la vulnerabilità di WinRAR è riconducibile all’hacktivismo
Nonostante Head Mare abbia chiesto dei riscatti per i dati rubati, sembra che l’intenzione principale del collettivo sia quello di creare più danno possibile alle aziende prese di mira. Un altro tipo di comportamento anomalo, visto che la maggior parte di criminali informatici ha come principale obiettivo il profitto.
Stando a quanto emerso dalle indagini, Head Mare avrebbe utilizzato campioni PhantomDL e PhantomCore dannosi, sfruttando una campagna phishing abbastanza raffinata, in grado di distribuire gli archivi WinRAR infetti con una certa facilità. La vulnerabilità sfruttata dai cybercriminali è stata catalogata con il codice CVE-2023-38831.
Questa campagna, per modalità di attacco, rientra pienamente nel contesto del conflitto tra Russia e Ucraina, combattuta anche a livello informatico. La stessa vulnerabilità appena citata, è già stata utilizzata per attacchi (in quel caso diretti verso l’Ucraina) nell’autunno dello scorso anno.