0
0
Um ator de ameaça desconhecido lançou uma exploração de prova de conceito (PoC) falsa para CVE-2023-4047, uma vulnerabilidade de execução remota de código (RCE) recentemente corrigida no WinRAR, para espalhar o malware VenomRAT.
O falso WinRAR PoC
Em 17 de agosto de 2023, a Iniciativa Zero Day da Trend Micro relatou a vulnerabilidade RCE (CVE-2023-4047) que permitia que agentes de ameaças executassem código arbitrário em uma instalação WinRAR afetada.
O invasor (“whalersplonk”) aproveitou a oportunidade para lançar um PoC falso no GitHub apenas quatro dias após o anúncio público da vulnerabilidade.
O PoC falso é baseado em código PoC disponível publicamente para uma vulnerabilidade de injeção SQL no GeoServer (CVE-2023-25157).
“O script [exploit] poc.py não funciona mais corretamente devido à remoção de várias linhas de código. No entanto, o código malicioso adicionado ao script é executado corretamente antes que o script termine em uma exceção”, observou Robert Falcone, pesquisador da Unidade 42 da Palo Alto Networks.
“Em vez de explorar a vulnerabilidade do WinRAR como afirma, o script PoC desencadeia uma cadeia de infecção que (após várias etapas) instalará uma carga VenomRAT.”
O repositório GitHub do invasor – já retirado – incluía um arquivo README contendo um resumo da vulnerabilidade CVE-2023-40477, instruções de uso para o script poc.py e um vídeo de demonstração hospedado no Streamable, tudo isso contribuiu para sua credibilidade.
Espalhando malware por meio de PoCs
Esta não é a primeira vez que os criadores de malware usam essa técnica; os atores de ameaças geralmente têm como alvo pesquisadores que procuram PoCs públicos para ajudá-los a analisar e compreender vulnerabilidades.
Embora o número de comprometimentos seja desconhecido, Falcone observou que o vídeo instrutivo fornecido pelo ator junto com o script de exploração falso teve 121 visualizações. Ele também tem dúvidas sobre as intenções do atacante.
“Não acreditamos que o ator da ameaça tenha criado esse script PoC falso para atingir especificamente os pesquisadores. Em vez disso, é provável que os intervenientes sejam oportunistas e procurem comprometer outros malfeitores que tentam adotar novas vulnerabilidades nas suas operações”, disse Falcone .
“Acreditamos que o ator da ameaça criou a infraestrutura e a carga separadamente do falso PoC. Assim que a vulnerabilidade foi divulgada publicamente, os atores rapidamente criaram o PoC falso para usar a gravidade de um RCE em um aplicativo popular como o WinRAR para atrair vítimas em potencial.”
FONTE: HELP NET SECURITY