Logotyp: WinRAR // Sammansättning: ZDNet
En sårbarhet som påverkar alla WinRAR versioner som har getts ut under de senaste 19 åren har blivit den go-to exploit för många malware-distributörer under loppet av den senaste månaden.
Flera kampanjer har upptäckts så långt under som är cyber-kriminella grupper, och möjligen några nation-state ” – hackare, har försökt att utnyttja WinRAR sårbarhet för att plantera skadlig kod på användarnas enheter.
Sårbarheten var offentliggöras den 20 februari med säkerhet forskare från Israli it-säkerhetsföretaget Check Point. En angripare kan skapa booby-fångade arkiv som när du packat upp med WinRAR app skulle placera skadliga filer var som helst på användarnas system.
Check Point hävdat att en angripare skulle använda denna sårbarhet (spårade som CVE-2018-20250) att plantera skadlig kod i Windows Autostart-mappen, där det automatiskt skulle köra efter varje omstart.
Deras föraning var korrekt och inom en vecka, hacker grupper började utnyttja sårbarheten för att plantera trojaner på användarnas datorer.
Möjligen den första skadlig kod som levereras via e-post att utnyttja WinRAR sårbarhet. Bakdörr genereras av läkare utan GRÄNSER och skrivs till den globala autostart-mappen med WinRAR om UAC är avstängt.https://t.co/bK0ngP2nIy
IOK:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D— 360 Threat Intelligence Center (@360TIC) februari 25, 2019
Spam-kampanjer fortsatte efter denna första kampanj, och diversifierade för att sprida olika malware nyttolast, med olika beten, allt från tekniska dokument till vuxen bilder.
Varning! Uppgraderingar i #WinRAR sårbarhet (#CVE-2018-20250) utnyttja, använda social ingenjörskonst för att lura offer med inbäddad bild kryptera filer och skadliga ACE-arkiv innan leverans.
Rapporten analys: https://t.co/LEcRPqP0cT
Kinesisk version: https://t.co/wbDCdZl1YV pic.twitter.com/8cjieD1xVJ
— 360 Threat Intelligence Center (@360TIC) februari 27, 2019
Skadliga arkiv som försökte utnyttja WinRAR fel skickades också till sydkoreanska myndigheter en dag innan den andra Donald Trump och Kim Jong-un-toppmötet som ägde rum i slutet av februari, i Vietnam.
Medan ingen av säkerhet forskare som ZDNet talade med bekräftade några länkar till nordkorea eller ryska staten hacka grupper, tidpunkten och inriktningen var konsekvent med nationalstaten hacking verksamheten, sade de.
Men detta var inte den enda händelse där politiskt tema spear-phishing-kampanjer sågs använda WinRAR utnyttja. Det fanns två andra.
Den första används ett tema om en ukrainsk lag för att lura offer till att packa upp en skadlig arkiv utnyttja WinRAR fel.
#WinRAR utnyttja (#CVE-2018-20250) prov verkar inriktning #Ukraina med en ukrainsk lag PDF-dokumentet inbäddade. Det droppar mssconf.bat för att ladda ner och köra ytterligare PowerShell-skript.
Skadlig URL: http://31.148.220.53:80/login/process.phphttps://t.co/yGJsS4MVTy pic.twitter.com/M6bf6TvpCr
— 360 Threat Intelligence Center (@360TIC) februari 28, 2019
Och sedan blev det en andra kampanj som används drag om Fn och mänskliga rättigheter att nå användare i Mellanöstern.
WinRAR utnyttja (#CVE-2018-20250) prov (förenta nationerna .rar) verkar inriktning på Mellanöstern. Inbäddade med bete handlingar som rör Fn: s Mänskliga Rättigheter och #FN på arabiska, slutligen hämtar och kör #Hämnd RÅTTA.https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5
— 360 Threat Intelligence Center (@360TIC) Mars 12, 2019
Båda dessa är mycket riktade attacker, och mest troligt arbete underrättelsetjänster bedriver i cyber-spionage.
Men medan nationalstater verkar ha hoppade på WinRAR utnyttjande tåg, men det betyder inte att regelbunden it-brottslighet gäng har slutat att använda samma sårbarhet för att distribuera vardagliga malware stammar.
I en rapport som publicerades i går, AMERIKANSKA it-säkerhetsföretaget McAfee beskrivs den senaste av dessa kampanjer med hjälp av en Ariana Grande lockbete för att lura användare till att öppna booby-fångade arkiv att plantera skadlig kod på sina datorer.
Allt som allt, McAfee experter säger att de har sett “100 unika utnyttjar och räkna” som använde WinRAR sårbarhet för att infektera användarna.
I den stora tingens ordning, dessa attacker är skyldig att fortsätta eftersom WinRAR är en idealisk attack ytan-appen har fler än 500 miljoner användare (enligt säljaren), av vilka de flesta är mest sannolikt att köra i en out-of-date version som kan utnyttjas.
WinRAR devs släppt WinRAR 5.70 Beta 1 januari 28 att hantera detta problem, dock, har användarna att manuellt besöka WinRAR webbplatsen, ladda ner och installera det. Den stora majoriteten av användare är sannolikt omedvetna om att denna sårbarhet ens existerar, än mindre att de behöver installera en kritisk säkerhetsuppdatering.
Relaterade skadliga program och it-brottslighet täckning:
Skadliga Counter-Strike 1.6 servrar som används för noll-dagar för att infektera användarna med malwareAlmost 150 miljoner användare påverkas av nya SimBad Android adwareWordPress shopping platser under attackChinese hacka gruppen bakdörrar produkter från tre Asiatiska gaming companiesEgypt regeringen använt Gmail tredje part apps för att phish activistsPirate Bay malware begraver olägenhet program buntar i ett enda på Hur Fn hjälper till att bekämpa den globala it-relaterad brottslighet TechRepublicGoogle blockerade 2,3 miljarder dåliga annonser 2018 CNET
Relaterade Ämnen:
Säkerhet-TV
Hantering Av Data
CXO
Datacenter