Os invasores exploraram o WinRAR zero

Jun 03, 2023

Atacantes com motivação financeira exploraram uma vulnerabilidade de dia zero no WinRAR (CVE-2023-38831) para induzir os comerciantes a instalar malware que lhes permitiria roubar dinheiro de contas de corretoras.

“Esta vulnerabilidade foi explorada desde abril de 2023”, diz Andrey Polovinkin, analista de malware do Group-IB. Dispositivos de pelo menos 130 comerciantes (e provavelmente mais) foram infectados com malware nesta campanha.

CVE-2023-38831 é uma vulnerabilidade de falsificação de extensão de arquivo, que permitiu que invasores criassem um arquivo RAR ou ZIP modificado contendo arquivos inofensivos e maliciosos (scripts localizados em uma pasta com o mesmo nome do arquivo inofensivo).

“Todos os arquivos que identificamos foram criados usando o mesmo método. Todos eles também tinham uma estrutura semelhante, consistindo em um arquivo chamariz e uma pasta contendo uma mistura de arquivos maliciosos e não utilizados. Se o usuário abrir o arquivo chamariz, que aparece como .txt, .jpg. ou outra extensão de arquivo no WinRAR, um script malicioso é executado”, explicou Polovinkin.

O arquivo chamariz também é aberto para completar a ilusão, mas em segundo plano o malware DarkMe, GuLoader e/ou Remcos RAT é instalado silenciosamente, permitindo que os invasores acessem remotamente o computador da vítima.

Os analistas de ameaças do Group-IB descobriram que o CVE-2023-38831 estava sendo explorado para espalhar o malware DarkMe no início de julho de 2023.

“Inicialmente, nossa pesquisa nos levou a acreditar que esta era uma evolução conhecida de uma vulnerabilidade descoberta anteriormente pelo pesquisador de segurança Danor Cohen em 2014. Foi observado um método de modificar o cabeçalho ZIP para falsificar extensões de arquivo, mas uma investigação mais aprofundada revelou que isso não era o caso”, observou Polovinkin.

Os agentes da ameaça visavam os comerciantes através de fóruns online especializados, primeiro envolvendo-os em discussões e depois supostamente oferecendo documentos que ofereciam estratégias ou conselhos sobre problemas ou interesses específicos.

“Tomando como exemplo um dos fóruns afetados, alguns dos administradores tomaram conhecimento de que arquivos nocivos estavam sendo compartilhados no fórum e, posteriormente, emitiram um aviso aos usuários. Apesar deste aviso, novas postagens foram feitas e mais usuários foram afetados. Nossos pesquisadores também encontraram evidências de que os agentes da ameaça conseguiram desbloquear contas que foram desativadas pelos administradores do fórum para continuar a espalhar arquivos maliciosos, seja postando em tópicos ou enviando mensagens privadas”, acrescentou.

Não se sabe quanto dinheiro os agentes da ameaça conseguiram sacar das contas dos corretores das vítimas, ou de qual grupo cibercriminoso eles fazem parte.

CVE-2023-38831 foi corrigido pelo RARLAB na atualização mais recente do WinRAR (v6.23), junto com uma vulnerabilidade RCE de alta gravidade (CVE-2023-40477).

Se você é usuário do WinRAR, atualize manualmente para esta versão o mais rápido possível. Com todas as informações de vulnerabilidade que foram tornadas públicas, outros invasores poderão em breve encontrar maneiras de replicar a exploração original ou até mesmo criar ferramentas fáceis de usar que possam permitir que cibercriminosos menos experientes em tecnologia criem arquivos com armadilhas para explorar esta vulnerabilidade. imperfeição.