WinRAR的安全漏洞被用于针对交易者的零日攻击

发布日期：2023-08-28

Group-IB的新发现显示，自2023年4月以来，流行的WinRAR归档软件中最近修补的安全漏洞已被利用为零日漏洞。

该漏洞编目为 CVE-2023-38831，允许威胁参与者欺骗文件扩展名，从而可以启动伪装成看似无害的图像或文本文件的存档中包含的恶意脚本。此问题已在 2023 年 8 月 2 日发布的版本 6.23 中与 CVE-2023-40477 一起得到解决。

在这家总部位于新加坡的公司于 2023 年 7 月发现的攻击中，通过交易相关论坛（如外汇站）分发的特制 ZIP 或 RAR 存档文件已被用于提供各种恶意软件系列，例如 DarkMe、GuLoader 和 Remcos RAT。

“感染设备后，网络犯罪分子从经纪人账户中提取资金，”Group-IB恶意软件分析师Andrey Polovinkin说，并补充说，作为活动的一部分，多达130名交易者的设备已被入侵。目前尚不清楚这一活动造成的受害者总数和经济损失。

创建诱杀存档文件时，它包含一个图像文件以及一个同名的文件夹。

因此，当受害者单击图像时，将执行文件夹中存在的批处理脚本，然后用于启动下一阶段，即旨在提取和启动其他文件的SFX CAB存档。同时，脚本还加载了诱饵图像，以免引起怀疑。

“CVE-2023-38831是由在ZIP存档中打开文件时的处理错误引起的，”Polovinkin告诉黑客新闻。 “武器化的ZIP档案已经在至少8个流行的交易论坛上分发，因此受害者的地理位置很广泛，攻击并不针对特定的国家或行业。

目前尚不清楚谁是利用WinRAR漏洞的攻击的幕后黑手。也就是说，DarkMe 是归因于 EvilNum 组织的 Visual Basic 木马，NSFOCUS 于 2022 年 9 月首次记录了它与代号为 DarkCasino 的针对欧洲在线赌博和交易服务的网络钓鱼活动有关。

使用这种方法传递的还有一个名为GuLoader（又名CloudEye）的恶意软件，随后尝试从远程服务器获取Remcos RAT。

“最近利用CVE-2023-38831的案例提醒我们与软件漏洞相关的持续风险，”Polovinkin说。“威胁行为者足智多谋，他们总能找到新的方法来发现并随后利用漏洞。

声明：内容来源thehackernews，版权归作者所有，转载目的在于传播更多资讯。如有侵权，请联系本站处理。