Уязвимость, затрагивающая все версии WinRAR, выпущенные за последние 19 лет, стала популярной для многих распространителей вредоносного ПО за последний месяц. До настоящего времени было обнаружено несколько кампаний, в ходе которых хакерские группировки и, возможно, некоторые злоумышленники из различных национальных государств пытались использовать уязвимость WinRAR для распространения вредоносных программ на устройствах пользователей.

Уязвимость была публично раскрыта 20 февраля исследователями безопасности из фирмы по кибербезопасности Israli Check Point. Злоумышленник может создать заархивированные файлы, которые при распаковке с помощью приложения WinRAR будут размещать вредоносные файлы в любом указанном месте в системах пользователей.

В Check Point утверждали, что злоумышленники будут использовать эту уязвимость (CVE-2018-20250) для размещения вредоносных программ в папке автозагрузки Windows, где она будет автоматически запускаться после каждой перезагрузки системы.

Их догадка была верной, и в течение недели хакерские группы начали использовать уязвимость для установки бэкдор-троянов на компьютерах пользователей.

 

Спам-кампании продолжились и после первой кампании, но были уже разносторонне направлены, чтобы распространять вредоносные программы, используя различные приманки, от технических документов до изображений для взрослых.

 

Вредоносные архивы, которые пытались использовать уязвимость WinRAR, были также отправлены в правительственные учреждения Южной Кореи за день до второго саммита Дональда Трампа и Ким Чен Ына, который состоялся в конце февраля во Вьетнаме.

Хотя ни один из исследователей безопасности не подтвердил каких-либо связей с хакерскими группами из Северной Кореи или России, они сказали, что время и цели соответствовали хакерским операциям на уровне государства.

Но это было не единственное событие, где проводилась политическая тематическая фишинговая кампания с использованием эксплойта WinRAR. Были и два других. Первый использовал тему об украинском законе, чтобы заставить жертв распаковать вредоносный архив, использующий уязвимость WinRAR.

 

А затем была вторая кампания, в которой использовалась приманка об Организации Объединенных Наций и правах человека для целевых пользователей на Ближнем Востоке.

 

Обе атаки являются целенаправленными и, скорее всего, работой спецслужб, занимающихся кибершпионажем.

Но хотя государства, похоже, начали использовать уязвимость WinRAR, это не означает, что обычные киберпреступные группировки перестали использовать ту же самую уязвимость для распространения вирусов.

В отчете, опубликованном вчера, американская компания по кибербезопасности McAfee описала последние этих кампаний, одна из которых использовала приманку с архивом нового альбома Арианы Грандэ (Ariana Grande), чтобы обманом заставить пользователей открывать вредоносные архивы, которые внедряют вредоносное ПО в их системы.

В целом эксперты McAfee говорят, что они видели «100 уникальных эксплойтов», которые использовали уязвимость WinRAR для заражения пользователей.

По большому счету, эти атаки должны продолжаться, потому что WinRAR – это идеальное приложение для атаки – у него более 500 миллионов пользователей (в зависимости от поставщика), большинство из которых, скорее всего, используют устаревшие версии, которые используют злоумышленники.

Разработчики WinRAR выпустили WinRAR 5.70 Beta 1 28 января для устранения этой уязвимости, однако пользователям необходимо вручную посетить сайт WinRAR, скачать и установить его. Подавляющее большинство пользователей, скорее всего, не знают, что эта уязвимость вообще существует, не говоря уже о том, что им нужно установить критическое обновление для системы безопасности.