Falso WinRAR PoC espalha malware VenomRAT

Views: 1458
0 0
Read Time:2 Minute, 4 Second

Um ator de ameaça desconhecido lançou uma exploração de prova de conceito (PoC) falsa para CVE-2023-4047, uma vulnerabilidade de execução remota de código (RCE) recentemente corrigida no WinRAR, para espalhar o malware VenomRAT.

O falso WinRAR PoC

Em 17 de agosto de 2023, a Iniciativa Zero Day da Trend Micro relatou a vulnerabilidade RCE (CVE-2023-4047) que permitia que agentes de ameaças executassem código arbitrário em uma instalação WinRAR afetada.

O invasor (“whalersplonk”) aproveitou a oportunidade para lançar um PoC falso no GitHub apenas quatro dias após o anúncio público da vulnerabilidade.

O PoC falso é baseado em código PoC disponível publicamente para uma vulnerabilidade de injeção SQL no GeoServer (CVE-2023-25157).

“O script [exploit] poc.py não funciona mais corretamente devido à remoção de várias linhas de código. No entanto, o código malicioso adicionado ao script é executado corretamente antes que o script termine em uma exceção”, observou Robert Falcone, pesquisador da Unidade 42 da Palo Alto Networks.

“Em vez de explorar a vulnerabilidade do WinRAR como afirma, o script PoC desencadeia uma cadeia de infecção que (após várias etapas) instalará uma carga VenomRAT.”

O repositório GitHub do invasor – já retirado – incluía um arquivo README contendo um resumo da vulnerabilidade CVE-2023-40477, instruções de uso para o script poc.py e um vídeo de demonstração hospedado no Streamable, tudo isso contribuiu para sua credibilidade.

Espalhando malware por meio de PoCs

Esta não é a primeira vez que os criadores de malware usam essa técnica; os atores de ameaças geralmente têm como alvo pesquisadores que procuram PoCs públicos para ajudá-los a analisar e compreender vulnerabilidades.

Embora o número de comprometimentos seja desconhecido, Falcone observou que o vídeo instrutivo fornecido pelo ator junto com o script de exploração falso teve 121 visualizações. Ele também tem dúvidas sobre as intenções do atacante.

“Não acreditamos que o ator da ameaça tenha criado esse script PoC falso para atingir especificamente os pesquisadores. Em vez disso, é provável que os intervenientes sejam oportunistas e procurem comprometer outros malfeitores que tentam adotar novas vulnerabilidades nas suas operações”, disse Falcone .

“Acreditamos que o ator da ameaça criou a infraestrutura e a carga separadamente do falso PoC. Assim que a vulnerabilidade foi divulgada publicamente, os atores rapidamente criaram o PoC falso para usar a gravidade de um RCE em um aplicativo popular como o WinRAR para atrair vítimas em potencial.”

FONTE: HELP NET SECURITY

POSTS RELACIONADOS