Hackers ligados à Rússia e China exploram dia zero do WinRAR

Vulnerabilidade permite que invasores escondam scripts maliciosos em arquivos que se disfarçam de imagens ou documentos de texto aparentemente inócuos
Da Redação
19/10/2023

Pesquisadores de segurança do Google dizem ter encontrado evidências de que hackers apoiados pelos governos da Rússia e da China estão explorando uma vulnerabilidade corrigida no WinRAR, a popular ferramenta de arquivamento shareware para Windows.

A vulnerabilidade WinRAR, descoberta pela primeira vez pela empresa de segurança cibernética Group-IB no início deste ano e rastreada como CVE-2023-38831, permite que invasores escondam scripts maliciosos em arquivos que se disfarçam de imagens ou documentos de texto aparentemente inócuos. O Group-IB disse que a falha foi explorada como um dia zero, já que o desenvolvedor não tinha tempo para corrigir o bug antes que ele fosse explorado em abril para comprometer os dispositivos de ao menos 130 comerciantes.

A Rarlab, que fabrica a ferramenta de arquivamento, lançou uma versão atualizada do WinRAR (versão 6.23) em 2 de agosto para corrigir a vulnerabilidade. Apesar disso, o Grupo de Análise de Ameaças (TAG) do Google disse esta semana que seus pesquisadores observaram vários grupos de hackers apoiados por Rússia e China explorando a falha de segurança, observando que “muitos usuários” que não atualizaram o aplicativo permanecem vulneráveis. 

Um dos grupos, segundo o Google, inclui o Sandworm, conhecido por ataques cibernéticos destrutivos, como o ataque de ransomware NotPetya, lançado em 2017, que atingiu principalmente sistemas de computador na Ucrânia e interrompeu a rede elétrica do país. O grupo de hackers que trabalha para Departamento Central de Inteligência (GRU, na sigla em inglês) do Estado-Maior das Forças Armadas da Rússia como parte da unidade militar 74455 do Centro Principal de Tecnologias Especiais (GTsST).

Os pesquisadores da TAG observaram Sandworm explorando a falha WinRAR no início de setembro como parte de uma campanha de e-mail malicioso que se passava por uma escola de treinamento de guerra de drones ucraniana. Os e-mails continham um link para um arquivo malicioso que explorava o CVE-2023-38831, que quando aberto instalava malware de roubo de informações na máquina da vítima e roubava senhas do navegador.

Separadamente, a TAG diz que observou outro notório grupo de hackers apoiado pela Rússia, rastreado como APT28 e comumente conhecido como Fancy Bear, usando o dia zero do WinRAR para atingir usuários na Ucrânia sob o disfarce de uma campanha de e-mail se passando pelo Razumkov Centre, um think tank de políticas públicas no país. O Fancy Bear é mais conhecido por sua operação de “hack and leak” contra o Comitê Nacional Democrata em 2016.

Veja isso
Dia zero do WinRAR vem sendo explorado desde o início de abril
Bug UnRAR pode permitir hack a usuários de e-mail do Zimbra

As descobertas do Google seguem uma revelação anterior da empresa de inteligência de ameaças Cluster25, que disse na semana passada que também observou hackers russos explorando a vulnerabilidade WinRAR como uma campanha de phishing projetada para coletar credenciais de sistemas comprometidos. 

O Google acrescentou que seus pesquisadores encontraram evidências de que o grupo de hackers apoiado pela China, conhecido como APT40, que o governo dos EUA vinculou anteriormente ao Ministério da Segurança do Estado da China, também abusou da falha de dia zero do WinRAR como parte de uma campanha de phishing direcionada a usuários baseados em Papua Nova Guiné. Esses e-mails incluíam um link do Dropbox para um arquivo que continha a exploração CVE-2023-38831.

Os pesquisadores da TAG alertam que a exploração contínua do bug WinRAR “destaca que explorações para vulnerabilidades conhecidas podem ser altamente eficazes”, já que os invasores usam taxas de correção lentas a seu favor.

Compartilhar: