WinRAR explorou a vulnerabilidade zero-day desde abril para invadir contas de negociação
24 de Agosto de 2023

Uma vulnerabilidade de WinRar zero-day rastreada como CVE-2023-38831 estava sendo ativamente explorada para instalar malware ao clicar em arquivos inofensivos em um arquivo, permitindo que os hackers violassem contas de negociação de criptomoedas online.

A vulnerabilidade tem sido explorada ativamente desde abril de 2023, ajudando a distribuir várias famílias de malware, incluindo DarkMe, GuLoader e Remcos RAT.

A vulnerabilidade zero-day do WinRAR permitiu aos atores de ameaça criar arquivos .RAR e .ZIP maliciosos que exibiam arquivos aparentemente inocuos, como imagens JPG (.jpg), arquivos de texto (.txt) ou documentos PDF (.pdf).

No entanto, quando um usuário abre o documento, a falha fará com que um script seja executado para instalar malware no dispositivo.

BleepingComputer testou um arquivo malicioso compartilhado pelo Group-IB, que descobriu a campanha, e simplesmente clicar duas vezes em um PDF causou a execução de um script CMD para instalar malware.

O zero-day foi corrigido na versão 6.23 do WinRAR, lançada em 2 de agosto de 2023, que também resolve vários outros problemas de segurança, incluindo o CVE-2023-40477, um erro que pode acionar a execução de um comando ao abrir um arquivo RAR especialmente criado.

Em um relatório divulgado hoje, pesquisadores do Group-IB disseram que descobriram o zero-day do WinRAR sendo usado para atacar fóruns de negociação de ações e criptomoedas, onde os hackers fingiam ser outros entusiastas compartilhando suas estratégias de negociação.

Essas postagens no fórum continham links para arquivos ZIP ou RAR WinRAR especialmente criados que fingiam incluir a estratégia de negociação compartilhada, composta por PDFs, arquivos de texto e imagens.

O fato de esses arquivos visarem negociadores é demonstrado pelos títulos das postagens no fórum, como "melhor estratégia pessoal para negociar com Bitcoin."

Os arquivos maliciosos foram distribuídos em pelo menos oito fóruns públicos de negociação, infectando 130 dispositivos de negociadores confirmados.

O número de vítimas e perdas financeiras resultantes desta campanha são desconhecidos.

Quando os arquivos são abertos, os usuários verão o que parece ser um arquivo inofensivo, como um PDF, com uma pasta correspondente ao mesmo nome do arquivo, como mostrado abaixo.

No entanto, quando o usuário clica duas vezes no PDF, a vulnerabilidade CVE-2023-38831 acionará silenciosamente um script na pasta para instalar malware no dispositivo.

Ao mesmo tempo, esses scripts também carregam o documento isca para não despertar suspeitas.

A vulnerabilidade é acionada ao criar arquivos especialmente criados com uma estrutura ligeiramente modificada em comparação com arquivos seguros, fazendo com que a função ShellExecute do WinRAR receba um parâmetro incorreto ao tentar abrir o arquivo isca.

Isso resulta no programa ignorando o arquivo inofensivo e localizando e executando um script batch ou CMD, então, enquanto o usuário supõe que abra um arquivo seguro, o programa lança um diferente.

O script é executado para lançar um arquivo CAB autoextraível (SFX) que infecta o computador com várias cepas de malware, como as infecções DarkMe, GuLoader e Remcos RAT, fornecendo acesso remoto a um dispositivo infectado.

Embora a cepa de malware DarkMe tenha sido associada ao grupo financeiramente motivado EvilNum, não está claro quem explorou o CVE-2023-38831 na campanha recentemente observada.

DarkMe foi usado anteriormente em ataques financeiramente motivados, então é possível que os invasores tenham mirado comerciantes para roubar seus ativos cripto.

Remcos RAT dá aos atacantes um controle mais poderoso sobre dispositivos infectados, incluindo execução de comandos arbitrários, registro de teclas, captura de tela, gerenciamento de arquivos e capacidades de proxy reverso, então também pode facilitar operações de espionagem.

Group-IB descobriu o CVE-2023-38831 em julho de 2023, e a empresa de segurança publicou hoje um relatório detalhado sobre sua exploração.

Os usuários do WinRAR são instados a atualizar para a versão mais recente, versão 6.23 no momento da escrita, o mais rápido possível para eliminar o risco de falsificação de arquivos e outros ataques recentemente divulgados.

Publicidade

Curso gratuito de Python

O curso Python Básico da Solyd oferece uma rápida aproximação à linguagem Python com diversos projetos práticos. Indo do zero absoluto até a construção de suas primeiras ferramentas. Tenha também suporte e certificado gratuitos. Saiba mais...