0
0
Atacantes com motivação financeira exploraram uma vulnerabilidade de dia zero no WinRAR (CVE-2023-38831) para induzir os comerciantes a instalar malware que lhes permitiria roubar dinheiro de contas de corretoras.
“Esta vulnerabilidade foi explorada desde abril de 2023”, diz o analista de malware do Group-IB, Andrey Polovinkin. Dispositivos de pelo menos 130 comerciantes (e provavelmente mais) foram infectados com malware nesta campanha.
CVE-2023-38831 explorado
CVE-2023-38831 é uma vulnerabilidade de falsificação de extensão de arquivo, que permitia aos invasores criar um arquivo RAR ou ZIP modificado contendo arquivos inofensivos e maliciosos (scripts localizados em uma pasta com o mesmo nome do arquivo inofensivo).
“Todos os arquivos que identificamos foram criados usando o mesmo método. Todos eles também tinham uma estrutura semelhante, consistindo em um arquivo chamariz e uma pasta contendo uma mistura de arquivos maliciosos e não utilizados. Se o usuário abrir o arquivo chamariz, que aparece como .txt, .jpg. ou outra extensão de arquivo no WinRAR, um script malicioso é executado”, explicou Polovinkin.
O arquivo chamariz também é aberto para completar a ilusão, mas em segundo plano o malware DarkMe, GuLoader e/ou Remcos RAT é instalado silenciosamente, permitindo assim que os invasores acessem remotamente o computador da vítima.
Os analistas de ameaças do Group-IB descobriram que o CVE-2023-38831 estava sendo explorado para espalhar o malware DarkMe no início de julho de 2023.
“Inicialmente, nossa pesquisa nos levou a acreditar que esta era uma evolução conhecida de uma vulnerabilidade descoberta anteriormente pelo pesquisador de segurança Danor Cohen em 2014. Foi observado um método de modificar o cabeçalho ZIP para falsificar extensões de arquivo, mas uma investigação mais aprofundada revelou que isso não era o caso”, observou Polovinkin .
Sobre a campanha de ataque
Os agentes de ameaças visavam os comerciantes por meio de fóruns on-line especializados, primeiro envolvendo-os em discussões e, em seguida, supostamente oferecendo documentos que ofereciam estratégias ou conselhos sobre problemas ou interesses específicos.
“Tomando como exemplo um dos fóruns afetados, alguns dos administradores perceberam que arquivos nocivos estavam sendo compartilhados no fórum e, posteriormente, emitiram um aviso aos usuários. Apesar desse aviso, outras postagens foram feitas e mais usuários foram afetados. Nossos pesquisadores também viram evidências de que os invasores conseguiram desbloquear contas que foram desativadas pelos administradores do fórum para continuar espalhando arquivos maliciosos, seja postando em tópicos ou enviando mensagens privadas”, acrescentou.
Não se sabe quanto dinheiro os criminosos conseguiram retirar das contas dos corretores das vítimas ou de qual grupo cibercriminoso eles fazem parte.
Uma correção está disponível
O CVE-2023-38831 foi corrigido pelo RARLAB na atualização mais recente do WinRAR (v6.23), juntamente com uma vulnerabilidade RCE de alta gravidade ( CVE-2023-40477 ).
Se você é usuário do WinRAR, atualize manualmente para esta versão o mais rápido possível. Com todas as informações de vulnerabilidade que foram tornadas públicas, outros invasores poderão em breve encontrar maneiras de replicar a exploração original ou até mesmo criar ferramentas fáceis de usar que possam permitir que cibercriminosos menos experientes em tecnologia criem arquivos com armadilhas para explorar esta vulnerabilidade. imperfeição.
FONTE: HELP NET SECURITY