Logo: WinRAR // Samenstelling: ZDNet
Een kwetsbaarheid die van invloed zijn op de WinRAR-versies die zijn uitgebracht in de afgelopen 19 jaar is uitgegroeid tot de go-to exploit voor veel malware distributeurs in de loop van de laatste maand.
Diverse campagnes zijn tot nu toe ontdekt tijdens die cyber-criminele groepen, en eventueel enkele natie-staat, hackers, geprobeerd misbruik te maken van het WinRAR kwetsbaarheid te planten malware op de apparaten van gebruikers.
De kwetsbaarheid werd in het openbaar op 20 februari door security-onderzoekers van de Israli cyber-beveiligingsbedrijf Check Point. Een aanvaller kan maken booby-trapped archieven die toen uitgepakt met WinRAR app zou plaats schadelijke bestanden overal op de systemen van gebruikers.
Check Point betoogd dat een aanvaller dit beveiligingslek gebruiken (gevolgd als CVE-2018-20250) te planten malware in de map Opstarten van Windows, waar het zou automatisch uit te voeren na elke reboot het systeem.
Hun voorgevoel was correct en binnen een week, hacker groepen begonnen met het uitbuiten van de kwetsbaarheid van de plant backdoor trojans op de gebruikers die computers.
Misschien de eerste malware geleverd via de mail te exploiteren WinRAR kwetsbaarheid. De backdoor is gegenereerd door AZG en geschreven naar de global map opstarten door WinRAR als UAC is uitgeschakeld.https://t.co/bK0ngP2nIy
IOC:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D— 360 Threat Intelligence Center (@360TIC) 25 februari 2019
Spam campagnes vervolg na deze eerste campagne, en gediversifieerde verspreiden van andere malware payloads, met behulp van verschillende kunstaas, variërend van technische documenten afbeeldingen voor volwassenen.
Waarschuwing! Upgrades in de #WinRAR kwetsbaarheid (#CVE-2018-20250) exploiteren, gebruiken social engineering om slachtoffers te lokken met embedded image bestanden en het coderen van de kwaadaardige ACE archief alvorens te leveren.
Analyse rapport: https://t.co/LEcRPqP0cT
Chinese versie: https://t.co/wbDCdZl1YV pic.twitter.com/8cjieD1xVJ
— 360 Threat Intelligence Center (@360TIC) 27 februari 2019
Schadelijke archieven die geprobeerd misbruik te maken van het WinRAR fout zijn uitgezonden naar Zuid-koreaanse overheid een dag voordat de tweede Donald Trump en Kim Jong-un top dat vond plaats aan het einde van februari in Vietnam.
Terwijl niemand van de security-onderzoekers met wie ZDNet sprak op het moment bevestigd alle links naar Noord-koreaans of russische staat hacking groepen, de timing en de targeting in overeenstemming zijn met de natie-staat, hacking-activiteiten, zeiden ze.
Maar dit was niet het enige evenement waar de politiek in het thema van spear-phishing campagnes werden gezien met behulp van WinRAR te exploiteren. Er waren twee anderen.
De eerste die een thema over een oekraïense wetgeving om slachtoffers te lokken in het uitpakken van een kwaadaardige archief benutten van de WinRAR fout.
#WinRAR te benutten (#CVE-2018-20250) monster lijkt targeting #Oekraïne met een oekraïense wet gerelateerde PDF-document dat is ingesloten. Het valt mssconf.bat te downloaden en uit te voeren extra PowerShell scripts.
Kwaadaardige URL: http://31.148.220.53:80/login/process.phphttps://t.co/yGJsS4MVTy pic.twitter.com/M6bf6TvpCr
— 360 Threat Intelligence Center (@360TIC) 28 februari 2019
En dan was er een tweede campagne die gebruikt lokken over de Verenigde Naties en de rechten van de mens te richten op gebruikers in het Midden-Oosten.
WinRAR te benutten (#CVE-2018-20250) monster (verenigde naties .rar) lijkt op het Midden-Oosten. Ingesloten met aas-documenten met betrekking tot de Verenigde Naties voor de Rechten van de Mens en de #VN in het arabisch, het uiteindelijk downloads en voert #Wraak RAT.https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5
— 360 Threat Intelligence Center (@360TIC) 12 Maart 2019
Dit zijn beide zeer gerichte aanvallen, en het meest waarschijnlijk het werk van inlichtingendiensten betrokken bij cyber-spionage.
Maar terwijl de natie-staten lijkt te hebben sprong op de WinRAR exploitatie trein, dit betekent niet dat de gewone cyber-misdaad zijn gestopt met dezelfde kwetsbaarheid voor het verspreiden van alledaagse malware stammen.
In een rapport dat gisteren is gepubliceerd, ONS cyber-beveiligingsbedrijf McAfee beschreven als de laatste van deze campagnes, één met een Ariana Grande lokken om gebruikers te verleiden tot het openen van booby-trapped archieven die plant malware op hun systeem.
Al met al, McAfee deskundigen zeggen dat ze hebben gezien “100 unieke exploits en tellen”, en dat de WinRAR kwetsbaarheid te infecteren gebruikers.
In het grote schema van de dingen, deze aanvallen zijn voorbestemd om te blijven omdat WinRAR is een ideale aanval van de oppervlakte-de app heeft meer dan 500 miljoen gebruikers (volgens de verkoper), de meeste zijn waarschijnlijk met een out-of-date versie, die kan worden benut.
WinRAR devs uitgebracht WinRAR 5.70 Beta 1 op 28 januari-adres van dit beveiligingslek, maar gebruikers moeten handmatig ga naar de WinRAR website te downloaden en vervolgens te installeren. De overgrote meerderheid van de gebruikers zijn waarschijnlijk niet van bewust dat deze kwetsbaarheid nog bestaat, laat staan dat ze nodig hebben voor het installeren van een kritieke security-update.
Gerelateerde malware en cybercriminaliteit dekking:
Schadelijke Counter-Strike 1.6 servers gebruikt zero-dagen te infecteren gebruikers met malwareAlmost 150 miljoen gebruikers beïnvloed door nieuwe SimBad Android adwareWordPress shopping sites onder attackChinese hacken van de groep backdoors producten van drie Aziatische gaming companiesEgypt overheid gebruikt Gmail apps van derden te phish activistsPirate Bay malware begraaft overlast programma bundelt in één klik de manier waarop de Verenigde Naties helpt bij het bestrijden van de wereldwijde cybercriminaliteit TechRepublicGoogle geblokkeerd 2,3 miljard slecht advertenties in 2018 CNET
Verwante Onderwerpen:
Beveiliging TV
Data Management
CXO
Datacenters