Una falla de seguridad recientemente reparada en el popular software de archivo WinRAR ha sido explotada como día cero desde abril de 2023, según revelan nuevos hallazgos de Group-IB.
La vulnerabilidad, catalogada como CVE-2023-38831, permite a los actores de amenazas falsificar extensiones de archivos, lo que hace posible ejecutar scripts maliciosos contenidos en un archivo que se hace pasar por archivos de imagen o de texto aparentemente inofensivos. Se solucionó en la versión 6.23 lanzada el 2 de agosto de 2023, junto con CVE-2023-40477.
En los ataques descubiertos por la empresa con sede en Singapur en julio de 2023, se utilizaron archivos ZIP o RAR especialmente diseñados y distribuidos a través de foros relacionados con el comercio, como Forex Station, para entregar una variedad de familias de malware como DarkMe, GuLoader y Remcos RAT.
«Después de infectar los dispositivos, los ciberdelincuentes retiran dinero de las cuentas de los corredores», afirma el analista de malware del Grupo IB, Andrey Polovinkin. dicho, añadiendo que hasta 130 dispositivos de comerciantes se han visto comprometidos como parte de la campaña. Actualmente no está claro el número total de víctimas y pérdidas financieras derivadas de esta actividad.
El archivo de almacenamiento de la trampa explosiva se crea de manera que contenga un archivo de imagen y una carpeta con el mismo nombre.
Como resultado, cuando una víctima hace clic en la imagen, se ejecuta un script por lotes presente dentro de la carpeta, que luego se utiliza para iniciar la siguiente etapa, un archivo SFX CAB diseñado para extraer e iniciar archivos adicionales. Al mismo tiempo, el guión también carga la imagen señuelo para no despertar sospechas.
«CVE-2023-38831 se debe a un error de procesamiento al abrir el archivo en el archivo ZIP», dijo Polovinkin a The Hacker News. «Los archivos ZIP armados se han distribuido en al menos 8 foros comerciales populares, por lo que la geolocalización de las víctimas es amplia y los ataques no están dirigidos a países o industrias específicas».
Aún no se sabe quién está detrás de los ataques que aprovechan la falla de WinRAR. Dicho esto, DarkMe es un troyano de Visual Basic atribuido al grupo EvilNum, documentado por primera vez por NSFOCUS en septiembre de 2022 en relación con un campaña de phishing nombre en clave casino oscuro dirigido a los servicios europeos de comercio y juegos de azar en línea.
También se entrega utilizando este método una variedad de malware llamada GuLoader (también conocido como CloudEye) que posteriormente intenta recuperar Remcos RAT desde un servidor remoto.
«Los casos recientes de explotación de CVE-2023-38831 nos recuerdan los riesgos constantes relacionados con las vulnerabilidades del software», dijo Polovinkin. «Los actores de amenazas son muy ingeniosos y siempre encontrarán nuevas formas de descubrir y posteriormente explotar vulnerabilidades».