Prova de conceito falsa de exploração do WinRAR distribui o malware VenomRAT
21 de Setembro de 2023

Um hacker está espalhando um falso exploit de prova de conceito (PoC) para uma vulnerabilidade do WinRAR recentemente corrigida no GitHub, tentando infectar aqueles que fazem o download com o malware VenomRAT.

O falso exploit PoC foi detectado pela equipe de pesquisadores da Unit 42 da Palo Alto Networks, que relatou que o invasor fez upload do código malicioso no GitHub em 21 de agosto de 2023.

O ataque não está mais ativo, mas mais uma vez destaca os riscos de obter PoCs do GitHub e executá-los sem um escrutínio adicional para garantir que são seguros.

O falso PoC é para a vulnerabilidade CVE-2023-40477, uma vulnerabilidade de execução de código arbitrário que pode ser acionada quando arquivos RAR especialmente criados são abertos no WinRAR antes da versão 6.23.

A Iniciativa Zero Day da Trend Micro descobriu e divulgou a vulnerabilidade ao WinRAR em 8 de junho de 2023, mas não a divulgou publicamente até 17 de agosto de 2023.

O WinRAR corrigiu a falha na versão 6.23, que foi lançada em 2 de agosto.

Um ator de ameaças operando sob o nome "whalersplonk" agiu rápido (4 dias) para aproveitar a oportunidade espalhando malware sob o disfarce do código de exploração para a nova vulnerabilidade do WinRAR.

O ator da ameaça incluiu um resumo no arquivo README e um vídeo Streamable demonstrando como usar o PoC, o que deu mais legitimidade ao pacote malicioso.

No entanto, a Unit 42 relatou que o falso script Python PoC é, na verdade, uma modificação de um exploit disponível para outra falha, o CVE-2023-25157 , uma falha crítica de injeção SQL que afeta o GeoServer.

Quando executado, em vez de executar o exploit, o PoC cria um script em lote que baixa um script PowerShell codificado e o executa no host.

Esse script baixa o malware VenomRAT e cria uma tarefa agendada para executá-lo a cada três minutos.

Uma vez que o VenomRAT é lançado em um dispositivo Windows, ele executa um keylogger que registra todas as teclas pressionadas e as grava em um arquivo de texto armazenado localmente.

Em seguida, o malware estabelece comunicação com o servidor C2, de onde recebe um dos seguintes nove comandos para execução no dispositivo infectado:

plu_gin: Ativa um plugin armazenado no registro.

HVNCStop: Mata o processo "cvtres".

loadofflinelog: Envia dados offline do keylogger do %APPDATA%.

save_Plugin: Salva um plugin no registro sob um ID de hardware.

runningapp: Mostra processos ativos.

keylogsetting: Atualiza o arquivo de log de teclas no %APPDATA%.

init_reg: Exclui subchaves no registro de Software sob um ID de hardware.

Po_ng: Mede o tempo entre um PING para o servidor C2 e o recebimento deste comando.

filterinfo: Lista os aplicativos instalados e processos ativos do registro.

Como o malware pode ser usado para implementar outras cargas úteis e roubar credenciais, qualquer pessoa que tenha executado este falso PoC deve alterar suas senhas para todos os sites e ambientes em que possuem contas.

A linha do tempo dos eventos compartilhada pela Unit 42 sugere que o ator da ameaça preparou a infraestrutura para o ataque e a carga útil bem antes da divulgação pública da falha do WinRAR e, em seguida, aguardou o momento certo para criar um PoC enganoso.

Isso implica que o mesmo invasor pode, no futuro, aproveitar a atenção aumentada da comunidade de segurança em vulnerabilidades recém-reveladas para disseminar outros PoCs enganosos para várias falhas.

Os PoCs falsos no GitHub são um ataque bem documentado em que os atores de ameaças atacam outros criminosos e pesquisadores de segurança.

Em 2022, pesquisadores descobriram milhares de repositórios GitHub promovendo PoCs fraudulentos para diversas vulnerabilidades, com vários implementando malware, scripts PowerShell maliciosos, baixadores de ladrão de informações ocultas e droppers Cobalt Strike.

Mais recentemente, em junho de 2023, invasores posando como pesquisadores de cibersegurança lançaram vários exploits falsos de 0 dias, visando sistemas Linux e Windows com malware.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...