Uma vulnerabilidade de dia zero no software compactador e descompactador de dados do WinRar rastreada como CVE-2023-38831 vem sendo explorada ativamente por operadores de ameaças para instalar malware. Ao clicar em arquivos aparentemente inofensivos, o usuário de exchanges de criptomoedas, por exemplo, permite que hackers violem suas contas de negociação online.
A vulnerabilidade está sob exploração ativa desde abril, distribuindo várias famílias de malware, incluindo o DarkMe, GuLoader e Remcos RAT.
A vulnerabilidade permitiu que os operadores de ameaças criassem arquivos .RAR e .ZIP maliciosos que exibem arquivos supostamente inofensivos, como imagens JPG (.jpg), arquivos de texto (.txt) ou documentos PDF (.pdf). Porém, quando o usuário abre o documento, a falha fará com que seja executado um script que instala malware no dispositivo.
A campanha foi descoberta e compartilhada pelo Group-IB, que informou a comunidade que utiliza o software. Assim, o dia zero foi corrigido no WinRAR versão 6.23, lançado em 2 de agosto, que também resolve vários outros problemas de segurança, incluindo o CVE-2023-40477, uma falha que pode acionar a execução de comandos ao abrir um arquivo RAR especialmente criado.
Em um relatório divulgado nesta quarta-feira, 23, os pesquisadores do Group-IB disseram que descobriram o WinRAR de dia zero sendo usado para atingir fóruns de negociação de criptomoedas e ações, onde os hackers fingiam ser outros entusiastas compartilhando suas estratégias de negociação.
Essas postagens no fórum continham links para arquivos WinRAR ZIP ou RAR especialmente criados, que fingiam incluir a estratégia de negociação compartilhada, consistindo em PDFs, arquivos de texto e imagens. O fato de esses arquivos serem direcionados aos traders é demonstrado pelos títulos das postagens no fórum, como “melhor estratégia pessoal para negociar com Bitcoin”.
Os arquivos maliciosos foram distribuídos em ao menos oito fóruns de negociação, infectando 130 dispositivos de traders confirmados. O número de vítimas e perdas financeiras resultantes desta campanha são desconhecidos.
Quando os arquivos são abertos, os usuários veem o que parece ser um arquivo inofensivo, como um PDF, com uma pasta que corresponde ao mesmo nome do arquivo, conforme mostrado abaixo. No entanto, quando o usuário clica duas vezes no PDF, a vulnerabilidade inicia silenciosamente um script na pasta para instalar malware no dispositivo. Ao mesmo tempo, esses scripts também carregarão o documento isca para não levantar suspeitas.
A vulnerabilidade é acionada por arquivos especialmente criados com uma estrutura ligeiramente modificada na comparação com arquivos seguros, o que faz com que a função ShellExecute do WinRAR receba um parâmetro incorreto ao tentar abrir o arquivo chamariz. Isso faz com que o programa ignore o arquivo inofensivo e, em vez disso, localize e execute um script em lote ou CMD, portanto, enquanto o usuário presume que abriu um arquivo seguro, o programa inicia um arquivo diferente.
O script é executado para iniciar um arquivo CAB autoextraível (SFX) que infecta o computador com vários tipos de malware, como infecções DarkMe, GuLoader e Remcos RAT, fornecendo acesso remoto a um dispositivo infectado.
Veja isso
CISA alerta para falha de segurança no UnRAR no Linux
Bug UnRAR pode permitir hack a usuários de e-mail do Zimbra
Embora a cepa de malware DarkMe tenha sido associada ao grupo EvilNum com motivação financeira, não está claro quem aproveitou o CVE-2023-38831 na campanha recentemente observada.
O DarkMe já foi usado em ataques com motivação financeira, então é possível que os invasores tenham como alvo os comerciantes para roubar seus ativos criptográficos. Já o Remcos RAT oferece aos invasores um controle mais poderoso sobre os dispositivos infectados, incluindo execução arbitrária de comandos, keylogging, captura de tela, gerenciamento de arquivos e recursos de proxy reverso, para que também possa facilitar as operações de espionagem.
O Group-IB descobriu o CVE-2023-38831 em julho, e a empresa de segurança cibernética publicou nesta quarta-feira um relatório detalhado sobre sua exploração em estado selvagem.Os usuários do WinRAR são incentivados a atualizar para a versão mais recente, a versão 6.23 no momento da redação deste artigo, o mais rápido possível para eliminar o risco de falsificação de arquivos e outros ataques divulgados recentemente.