Um hacker está espalhando um falso exploit de prova de conceito (PoC) para uma vulnerabilidade do WinRAR recentemente corrigida no GitHub, tentando infectar aqueles que fazem o download com o malware VenomRAT.
O falso exploit PoC foi detectado pela equipe de pesquisadores da Unit 42 da Palo Alto Networks, que relatou que o invasor fez upload do código malicioso no GitHub em 21 de agosto de 2023.
O ataque não está mais ativo, mas mais uma vez destaca os riscos de obter PoCs do GitHub e executá-los sem um escrutínio adicional para garantir que são seguros.
O falso PoC é para a vulnerabilidade CVE-2023-40477, uma vulnerabilidade de execução de código arbitrário que pode ser acionada quando arquivos RAR especialmente criados são abertos no WinRAR antes da versão 6.23.
A Iniciativa Zero Day da Trend Micro descobriu e divulgou a vulnerabilidade ao WinRAR em 8 de junho de 2023, mas não a divulgou publicamente até 17 de agosto de 2023.
O WinRAR corrigiu a falha na versão 6.23, que foi lançada em 2 de agosto.
Um ator de ameaças operando sob o nome "whalersplonk" agiu rápido (4 dias) para aproveitar a oportunidade espalhando malware sob o disfarce do código de exploração para a nova vulnerabilidade do WinRAR.
O ator da ameaça incluiu um resumo no arquivo README e um vídeo Streamable demonstrando como usar o PoC, o que deu mais legitimidade ao pacote malicioso.
No entanto, a Unit 42 relatou que o falso script Python PoC é, na verdade, uma modificação de um exploit disponível para outra falha, o
CVE-2023-25157
, uma falha crítica de injeção SQL que afeta o GeoServer.
Quando executado, em vez de executar o exploit, o PoC cria um script em lote que baixa um script PowerShell codificado e o executa no host.
Esse script baixa o malware VenomRAT e cria uma tarefa agendada para executá-lo a cada três minutos.
Uma vez que o VenomRAT é lançado em um dispositivo Windows, ele executa um keylogger que registra todas as teclas pressionadas e as grava em um arquivo de texto armazenado localmente.
Em seguida, o malware estabelece comunicação com o servidor C2, de onde recebe um dos seguintes nove comandos para execução no dispositivo infectado:
plu_gin: Ativa um plugin armazenado no registro.
HVNCStop: Mata o processo "cvtres".
loadofflinelog: Envia dados offline do keylogger do %APPDATA%.
save_Plugin: Salva um plugin no registro sob um ID de hardware.
runningapp: Mostra processos ativos.
keylogsetting: Atualiza o arquivo de log de teclas no %APPDATA%.
init_reg: Exclui subchaves no registro de Software sob um ID de hardware.
Po_ng: Mede o tempo entre um PING para o servidor C2 e o recebimento deste comando.
filterinfo: Lista os aplicativos instalados e processos ativos do registro.
Como o malware pode ser usado para implementar outras cargas úteis e roubar credenciais, qualquer pessoa que tenha executado este falso PoC deve alterar suas senhas para todos os sites e ambientes em que possuem contas.
A linha do tempo dos eventos compartilhada pela Unit 42 sugere que o ator da ameaça preparou a infraestrutura para o ataque e a carga útil bem antes da divulgação pública da falha do WinRAR e, em seguida, aguardou o momento certo para criar um PoC enganoso.
Isso implica que o mesmo invasor pode, no futuro, aproveitar a atenção aumentada da comunidade de segurança em vulnerabilidades recém-reveladas para disseminar outros PoCs enganosos para várias falhas.
Os PoCs falsos no GitHub são um ataque bem documentado em que os atores de ameaças atacam outros criminosos e pesquisadores de segurança.
Em 2022, pesquisadores descobriram milhares de repositórios GitHub promovendo PoCs fraudulentos para diversas vulnerabilidades, com vários implementando malware, scripts PowerShell maliciosos, baixadores de ladrão de informações ocultas e droppers Cobalt Strike.
Mais recentemente, em junho de 2023, invasores posando como pesquisadores de cibersegurança lançaram vários exploits falsos de 0 dias, visando sistemas Linux e Windows com malware.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...