Logo: WinRAR // Composizione: ZDNet
Una vulnerabilità che coinvolge tutti gli WinRAR versioni rilasciate negli ultimi 19 anni, è diventato il go-to sfruttare per molti distributori di malware nel corso dell’ultimo mese.
Molte campagne sono state rilevate finora, durante il quale i cyber-criminali di gruppi, e forse qualche stato-nazione hacker, cercò di sfruttare la WinRAR vulnerabilità di impianto di malware sui dispositivi degli utenti.
La vulnerabilità è stata divulgata pubblicamente il 20 febbraio da ricercatori di sicurezza da Israli cyber-ditta di sicurezza di Check Point. Un utente malintenzionato può creare trappola archivi che quando scompattato con WinRAR app sarebbe dannoso file ovunque sui sistemi degli utenti.
Check Point ha sostenuto che gli aggressori sarebbe utilizzare questa vulnerabilità (registrata come CVE-2018-20250) per impianto di malware nella cartella esecuzione automatica di Windows, da dove sarebbe eseguire automaticamente dopo ogni riavvio del sistema.
La loro intuizione è stata corretta e nel giro di una settimana, gruppi di hacker, cominciò a sfruttare la vulnerabilità per impianto trojan backdoor sul computer degli utenti.
Forse il primo malware consegnati tramite mail a sfruttare WinRAR vulnerabilità. La backdoor è generato da MSF e scritti globale cartella di avvio da WinRAR, se UAC è disattivato.https://t.co/bK0ngP2nIy
CIO:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D— 360 Threat Intelligence Center (@360TIC) il 25 febbraio 2019
Le campagne di Spam continuato dopo questa prima campagna, diversificata e di diffondere le varie malware payload, utilizzando esche diverse, che vanno dai documenti tecnici di immagini per adulti.
Attenzione! Aggiornamenti in #WinRAR vulnerabilità (#CVE-2018-20250) sfruttare, utilizzare tecniche di ingegneria sociale per attirare le vittime con i file di immagine incorporata e crittografare i maligni archivio ACE prima di consegnare.
Report di analisi: https://t.co/LEcRPqP0cT
Versione cinese: https://t.co/wbDCdZl1YV pic.twitter.com/8cjieD1xVJ
— 360 Threat Intelligence Center (@360TIC) 27 febbraio 2019
Dannoso archivi, che ha cercato di sfruttare la WinRAR difetto sono stati inviati anche al Sud coreano agenzie governative, il giorno prima del secondo Donald Trump e Kim Jong-un vertice che si è tenuto alla fine di febbraio in Vietnam.
Mentre nessuno dei ricercatori di sicurezza con il quale ZDNet ha parlato al momento confermato di eventuali collegamenti a a Nord il coreano o stato russo gruppi di hacker, i tempi e il targeting sono stati coerenti con la nazione-stato di hacking operazioni, hanno detto.
Ma questo non è stato l’unico evento in cui politicamente a tema spear-phishing campagne sono state visualizzate utilizzando WinRAR sfruttare. C’erano altre due.
Il primo utilizzato un tema che riguarda una legge ucraina per attirare le vittime in decomprimere un archivio dannoso sfruttando il WinRAR difetto.
#WinRAR sfruttare (#CVE-2018-20250) campione sembra di targeting #Ucraina con un ucraino di legge relative al documento PDF embedded. Si scende mssconf.bat per scaricare ed eseguire ulteriori script di PowerShell.
URL maligno: http://31.148.220.53:80/login/process.phphttps://t.co/yGJsS4MVTy pic.twitter.com/M6bf6TvpCr
— 360 Threat Intelligence Center (@360TIC) 28 febbraio 2019
E poi c’è stata una seconda campagna che ha usato un richiamo sulle Nazioni Unite e i diritti umani per target di utenti in Medio Oriente.
WinRAR sfruttare (#CVE-2018-20250) campione (nazioni unite .rar) sembra essere il targeting per il Medio Oriente. Embedded con esca documenti relativi ai Diritti Umani delle Nazioni Unite e il #ONU in arabo, infine, scarica ed esegue #la Vendetta di RATTO.https://t.co/WJ4oJ1UxAz pic.twitter.com/fgHYSD4Mk5
— 360 Threat Intelligence Center (@360TIC) 12 Marzo 2019
Entrambi sono altamente attacchi mirati e più probabile che il lavoro dei servizi di intelligence impegnati in cyber-spionaggio.
Ma mentre gli stati-nazione sembra aver saltato l’WinRAR sfruttamento treno, questo non significa che i normali cyber-crime gang hanno smesso di usare la stessa vulnerabilità per la distribuzione di banali malware ceppi.
In un rapporto pubblicato ieri, CI cyber-società di sicurezza McAfee ha descritto l’ultima di queste campagne, con l’impiego di un Ariana Grande richiamo per ingannare gli utenti di apertura trappola archivi che l’impianto di malware sui loro sistemi.
Tutto in tutti, McAfee dicono gli esperti hanno visto che “100 unico exploit e il conteggio” che ha usato WinRAR vulnerabilità per infettare gli utenti.
Nel grande schema delle cose, questi attacchi sono destinati a continuare, perché WinRAR è un ideale superficie di attacco –l’app ha più di 500 milioni di utenti (secondo il produttore), la maggior parte dei quali sono probabilmente in esecuzione out-of-date versione che può essere sfruttato.
WinRAR sviluppatori rilasciato WinRAR 5.70 Beta 1 su gennaio 28 per risolvere questa vulnerabilità, tuttavia, gli utenti manualmente visitare il WinRAR sito, scaricare e installare. La stragrande maggioranza degli utenti sono probabilmente ignari che questa vulnerabilità esiste anche, figuriamoci che hanno bisogno di installare un aggiornamento critico.
Correlati malware e attacchi informatici di copertura:
Dannoso Counter-Strike 1.6 server utilizzati zero-giorni di infettare gli utenti con malwareAlmost 150 milioni di utenti influenzato dalle nuove SimBad Android adwareWordPress siti di shopping sotto attackChinese gruppo di hacker backdoor prodotti da tre gioco Asiatico companiesEgypt governo ha usato Gmail app di terze parti per phish activistsPirate Baia di malware seppellisce fastidio programma di fasci in un solo clic Come le Nazioni Unite, aiuta a combattere la criminalità informatica globale TechRepublicGoogle bloccato 2,3 miliardi di bad annunci nel 2018 CNET
Argomenti Correlati:
Di sicurezza, TV
La Gestione Dei Dati
CXO
Centri Dati