Un actor malicioso lanzó un exploit de prueba de concepto (PoC) falso para una vulnerabilidad WinRAR recientemente revelada en GitHub con el objetivo de infectar a los usuarios que descargaron el código con el malware VenomRAT.
«El PoC falso destinado a explotar esta vulnerabilidad WinRAR se basó en un script PoC disponible públicamente que explotó una vulnerabilidad de inyección SQL en una aplicación llamada GeoServer, que se rastrea como CVE-2023-25157«, Robert Falcone, investigador de la Unidad 42 de Palo Alto Networks dicho.
Si bien las PoC falsas se han convertido en una táctica bien documentada para atacar a la comunidad de investigación, la firma de ciberseguridad sospecha que los actores de amenazas están apuntando de manera oportunista a otros delincuentes que pueden estar adoptando las últimas vulnerabilidades en su arsenal.
ballenero, el cuenta GitHub que alojaba el repositorio ya no es accesible. Se dice que la PoC se cometió el 21 de agosto de 2023, cuatro días después de que se anunciara públicamente la vulnerabilidad.
CVE-2023-40477 se relaciona con un problema de validación incorrecta en la utilidad WinRAR que podría explotarse para lograr la ejecución remota de código (RCE) en sistemas Windows. Los mantenedores lo solucionaron el mes pasado en la versión WinRAR 6.23, junto con otro defecto explotado activamente rastreado como CVE-2023-38831.
Un análisis del repositorio revela un script de Python y un vídeo Streamable que demuestra cómo utilizar el exploit. El video atrajo 121 visitas en total.
El script Python, a diferencia de ejecutar el PoC, llega a un servidor remoto (verifique las palabras de la lista negra[.]eu) para recuperar un ejecutable llamado Windows.Gaming.Preview.exe, que es una variante de Venom RAT. Viene con capacidades para enumerar procesos en ejecución y recibir comandos de un servidor controlado por actores (94.156.253[.]109).
Seguridad Level-Up SaaS: una guía completa para ITDR y SSPM
Manténgase a la vanguardia con conocimientos prácticos sobre cómo ITDR identifica y mitiga las amenazas. Conozca el papel indispensable de SSPM para garantizar que su identidad siga siendo inviolable.
Un examen más detallado de la infraestructura del ataque muestra que el actor de la amenaza creó las palabras de la lista negra de verificación.[.]eu dominio al menos 10 días antes de la divulgación pública de la falla, y luego aprovechó rápidamente la importancia del error para atraer víctimas potenciales.
«Un actor de amenazas desconocido intentó comprometer a individuos publicando un PoC falso después del anuncio público de la vulnerabilidad, para explotar una vulnerabilidad RCE en una aplicación conocida», dijo Falcone.
«Este PoC es falso y no explota la vulnerabilidad de WinRAR, lo que sugiere que el actor intentó aprovechar un RCE muy buscado en WinRAR para comprometer a otros».