Уязвимость, затрагивающая все версии WinRAR, выпущенные за последние 19 лет, стала популярной для многих распространителей вредоносного ПО за последний месяц. До настоящего времени было обнаружено несколько кампаний, в ходе которых хакерские группировки и, возможно, некоторые злоумышленники из различных национальных государств пытались использовать уязвимость WinRAR для распространения вредоносных программ на устройствах пользователей.
Уязвимость была публично раскрыта 20 февраля исследователями безопасности из фирмы по кибербезопасности Israli Check Point. Злоумышленник может создать заархивированные файлы, которые при распаковке с помощью приложения WinRAR будут размещать вредоносные файлы в любом указанном месте в системах пользователей.
В Check Point утверждали, что злоумышленники будут использовать эту уязвимость (CVE-2018-20250) для размещения вредоносных программ в папке автозагрузки Windows, где она будет автоматически запускаться после каждой перезагрузки системы.
Их догадка была верной, и в течение недели хакерские группы начали использовать уязвимость для установки бэкдор-троянов на компьютерах пользователей.
Possibly the first malware delivered through mail to exploit WinRAR vulnerability. The backdoor is generated by MSF and written to the global startup folder by WinRAR if UAC is turned off.https://t.co/bK0ngP2nIy
IOC:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D— RedDrip Team (@RedDrip7) February 25, 2019
Warning! Upgrades in the #WinRAR vulnerability (#CVE-2018-20250) exploit, use social engineering to lure victims with embedded image files and encrypt the malicious ACE archive before delivering.
Analysis report: https://t.co/LEcRPqP0cT
Chinese version: https://t.co/wbDCdZl1YV pic.twitter.com/8cjieD1xVJ
— RedDrip Team (@RedDrip7) February 27, 2019
Хотя ни один из исследователей безопасности не подтвердил каких-либо связей с хакерскими группами из Северной Кореи или России, они сказали, что время и цели соответствовали хакерским операциям на уровне государства.
Но это было не единственное событие, где проводилась политическая тематическая фишинговая кампания с использованием эксплойта WinRAR. Были и два других. Первый использовал тему об украинском законе, чтобы заставить жертв распаковать вредоносный архив, использующий уязвимость WinRAR.
#WinRAR exploit (#CVE-2018-20250) sample seems targeting #Ukraine with a Ukrainian law related PDF document embedded. It drops mssconf.bat to download and execute additional PowerShell scripts.
Malicious URL: http://31.148.220.53:80/login/process.phphttps://t.co/yGJsS4MVTy pic.twitter.com/M6bf6TvpCr
— RedDrip Team (@RedDrip7) February 28, 2019
WinRAR exploit (#CVE-2018-20250) sample (united nations .rar) seems targeting the Middle East. Embedded with bait documents relating to the United Nations Human Rights and the #UN in Arabic, it finally downloads and executes #Revenge RAT.https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5
— RedDrip Team (@RedDrip7) March 12, 2019
Но хотя государства, похоже, начали использовать уязвимость WinRAR, это не означает, что обычные киберпреступные группировки перестали использовать ту же самую уязвимость для распространения вирусов.
В отчете, опубликованном вчера, американская компания по кибербезопасности McAfee описала последние этих кампаний, одна из которых использовала приманку с архивом нового альбома Арианы Грандэ (Ariana Grande), чтобы обманом заставить пользователей открывать вредоносные архивы, которые внедряют вредоносное ПО в их системы.
В целом эксперты McAfee говорят, что они видели «100 уникальных эксплойтов», которые использовали уязвимость WinRAR для заражения пользователей.
По большому счету, эти атаки должны продолжаться, потому что WinRAR – это идеальное приложение для атаки – у него более 500 миллионов пользователей (в зависимости от поставщика), большинство из которых, скорее всего, используют устаревшие версии, которые используют злоумышленники.
Разработчики WinRAR выпустили WinRAR 5.70 Beta 1 28 января для устранения этой уязвимости, однако пользователям необходимо вручную посетить сайт WinRAR, скачать и установить его. Подавляющее большинство пользователей, скорее всего, не знают, что эта уязвимость вообще существует, не говоря уже о том, что им нужно установить критическое обновление для системы безопасности.
