Logo: WinRAR // Sammensætning: ZDNet
En sårbarhed, som påvirker alle WinRAR versioner, der er udgivet i de seneste 19 år er blevet den go-to udnytte til mange malware-forhandlere i løbet af den sidste måned.
Flere kampagner har været opdaget så langt under, som cyber-kriminelle grupper, og muligvis nogle nation-stat-folk, forsøgte at udnytte WinRAR sårbarhed til at plante malware på brugernes enheder.
Sårbarheden blev offentliggjort i februar 20 af sikkerhedseksperter fra Israli cyber-sikkerhedsfirma Check Point. En hacker kan oprette booby-fanget arkiver, at når udpakkes med WinRAR app ville placere skadelige filer overalt på brugernes systemer.
Check Point hævdede, at angriberne ville bruge denne sårbarhed (registreret som CVE-2018-20250) til at plante malware på Windows Start-mappe, hvor det ville blive udført automatisk efter hver system genstart op.
Deres fornemmelse var korrekt, og inden for en uge, hacker grupper begyndte at udnytte sårbarheden til at plante bagdør trojanske heste på brugernes computere.
Muligvis den første malware, der leveres via e-mail at udnytte WinRAR sårbarhed. Bagdøren er genereret af MSF og skrevet til den globale mappen start af WinRAR hvis UAC er slået fra.https://t.co/bK0ngP2nIy
IOC:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D— 360 Threat Intelligence Center (@360TIC) 25 februar 2019
Spam-kampagner fortsatte efter denne første kampagne, og diversificeret for at sprede forskellige malware nyttelast, ved hjælp af forskellige lokker, der spænder fra tekniske dokumenter til voksen billeder.
Advarsel! Opgraderinger i #WinRAR sårbarhed (#CVE-2018-20250) udnytte, bruge social engineering til at lokke ofrene med integreret billede filer, og kryptere den skadelige ACE arkiv inden levering.
Analyserapport: https://t.co/LEcRPqP0cT
Kinesiske version: https://t.co/wbDCdZl1YV pic.twitter.com/8cjieD1xVJ
— 360 Threat Intelligence Center (@360TIC) 27 februar 2019
Ondsindede arkiver, der forsøgte at udnytte WinRAR fejl blev også sendt til sydkoreanske regeringsorganer en dag før anden Donald Trump og Kim Jong-un-topmødet, som fandt sted i slutningen af februar i Vietnam.
Mens ingen af de sikkerhedseksperter, med hvem ZDNet talte på gang bekræftet, at eventuelle links til nordkoreanske eller russiske stat grupper af hackere, timing og målretning var i overensstemmelse med nationalstaten-hacking-operationer, sagde de.
Men dette var ikke den eneste begivenhed, hvor politisk-tema spear-phishing-kampagner, der blev set ved hjælp af WinRAR udnytte. Der var to andre.
Den første brugte et tema om en ukrainsk lov til at lokke ofrene til at udpakke en ondsindet arkiv udnytte WinRAR fejl.
#WinRAR udnytte (#CVE-2018-20250) prøven ser ud til at målrette #Ukraine med en ukrainsk lovgivning relateret PDF-dokument indlejret. Det falder mssconf.bat til at hente og udføre yderligere PowerShell-scripts.
Skadelig URL-adresse: http://31.148.220.53:80/login/process.phphttps://t.co/yGJsS4MVTy pic.twitter.com/M6bf6TvpCr
— 360 Threat Intelligence Center (@360TIC) 28 februar 2019
Og så var der en anden kampagne, der har brugt en lure om Fn og menneskerettighederne, for at målrette mod brugere i Mellemøsten.
WinRAR udnytte (#CVE-2018-20250) prøve (forenede nationer .rar) synes rettet mod Mellemøsten. Indlejret med agn dokumenter vedrørende Fn ‘ s Menneskerettigheder og #UN i arabisk, er det endelig downloads og udfører #Hævn ROTTE.https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5
— 360 Threat Intelligence Center (@360TIC) 12. Marts 2019
Begge disse er meget målrettede angreb, og sandsynligvis arbejde med efterretningstjenesterne er involveret i cyber-spionage.
Men mens nation-stater synes at have hoppet på den WinRAR udnyttelse toget, det betyder ikke, at regelmæssig cyber-kriminelle bander har stoppet med at bruge den samme sårbarhed for distribution af verdslige malware stammer.
I en rapport, der blev offentliggjort i går, US cyber-sikkerhed firma McAfee beskrevet den seneste af disse kampagner, den ene med en Ariana Grande lokke til at narre brugere til at åbne booby-fanget arkiver, at plante malware på deres systemer.
Alt i alt, McAfee eksperter siger, at de har set “100 unikke udnytter og tælle”, der har brugt WinRAR sårbarhed til at inficere brugerne.
I grand ordningen af ting, disse angreb er bundet til at fortsætte, fordi WinRAR er et ideelt angreb overflade-app, har mere end 500 millioner brugere (i henhold til sin leverandør), de fleste af dem, der er mest sandsynligt, at du kører en out-of-date version, der kan udnyttes.
WinRAR devs udgivet WinRAR 5.70 Beta 1 på 28 januar for at løse denne svaghed, men brugerne er nødt til manuelt at besøge WinRAR webstedet, downloade og installere det. Langt størstedelen af brugerne er mest sandsynligt, uvidende om, at denne sårbarhed overhovedet eksisterer, endsige at de har brug for til at installere en kritisk sikkerhedsopdatering.
Relaterede malware og it-kriminalitet dækning:
Ondsindede Counter-Strike 1.6 servere, der bruges nul-dage til at inficere brugerne med malwareAlmost 150 millioner brugere, der påvirkes af nye SimBad Android adwareWordPress shopping sites under attackChinese hacking gruppe bagdøre produkter fra tre Asiatiske gaming companiesEgypt regering har brugt Gmail tredjeparts-apps til phish activistsPirate Bay malware begraver gener program bundter med et enkelt klik, Hvordan Fn ‘ s hjælper med at bekæmpe globale it-kriminalitet TechRepublicGoogle blokeret 2,3 mia dårlige annoncer i 2018 CNET
Relaterede Emner:
Sikkerhed-TV
Data Management
CXO
Datacentre