Novootkrivena zero-day ranjivost daljinskog izvršavanja koda u WinRAR-u je iskorištavana za distribuciju nekoliko porodica malware-a kao što su DarkMe, GuLoader i RemcosRAT. Prema istraživačima Grupe-IB, napadi koji koriste ovu grešku traju od aprila.
Istraživači Group-IB-a su naišli na napad dok su pratili aktivnost malware-a DarkMe. Iako je vrsta malware-a povezana s financijski motivisanom Evilnum grupom, nejasno je ko je iskoristio WinRAR propust da instalira malware.
O kampanji
Hakeri su distribuisali naoružane zip arhive na najmanje osam javnih foruma koje redovno koriste internet trgovci. U nekoliko slučajeva, hakeri su takođe koristili besplatnu uslugu skladištenja datoteka pod nazivom catbox.moe za distribuciju zip arhiva.
- Jednom instaliran na sistemu, malware dobija pristup trgovačkim nalozima žrtve i izvršava neovlašćene transakcije za povlačenje sredstava.
- Administratori foruma su postali svjesni malicioznih datoteka i blokirali lažne naloge. Unatoč tome, hakeri su uspjeli deblokirati naloge i nastaviti sa širenjem malicioznih datoteka korisnicima putem privatnih poruka.
- Administratori su takođe upozorili korisnike na pokušaje napada koji su u toku.
Do sada je otkriveno da je u napadu zaraženo 130 uređaja trgovaca.
Zaroniti u manu
- Zero-day ranjivost, praćena kao CVE-2023-3881, može omogućiti hakerima da lažiraju ekstenzije datoteka.
- To im omogućava da sakriju maliciozni kod u zip arhivama maskirajući se u jpg, txt i druge formate datoteka.
- Pokreće se preko posebno kreiranih arhiva kada žrtve otvore mamac datoteku, uzrokujući da WinRAR-ova ShellExecute funkcija primi netačan parametar.
Završne riječi
Preporučuje se da korisnici nadograde na najnoviju verziju (6.23) WinRAR-a što je prije moguće kako bi se eliminisao rizik od ovakvih napada. Osim toga, organizacije moraju ostati budne, ažurirati svoje sisteme i slijediti sigurnosne smjernice kako ne bi postale žrtve ovih napada.
Izvor: Cyware Alerts – Hacker News