Una falla de seguridad recientemente reparada en el popular software de archivo WinRAR ha sido explotada como d\u00eda cero desde abril de 2023, seg\u00fan revelan nuevos hallazgos de Group-IB.<\/p>\n
La vulnerabilidad, catalogada como CVE-2023-38831<\/a>, permite a los actores de amenazas falsificar extensiones de archivos, lo que hace posible ejecutar scripts maliciosos contenidos en un archivo que se hace pasar por archivos de imagen o de texto aparentemente inofensivos. Se solucion\u00f3 en la versi\u00f3n 6.23 lanzada el 2 de agosto de 2023, junto con CVE-2023-40477.<\/p>\n En los ataques descubiertos por la empresa con sede en Singapur en julio de 2023, se utilizaron archivos ZIP o RAR especialmente dise\u00f1ados y distribuidos a trav\u00e9s de foros relacionados con el comercio, como Forex Station, para entregar una variedad de familias de malware como DarkMe, GuLoader y Remcos RAT.<\/p>\n “Despu\u00e9s de infectar los dispositivos, los ciberdelincuentes retiran dinero de las cuentas de los corredores”, afirma el analista de malware del Grupo IB, Andrey Polovinkin. dicho<\/a>, a\u00f1adiendo que hasta 130 dispositivos de comerciantes se han visto comprometidos como parte de la campa\u00f1a. Actualmente no est\u00e1 claro el n\u00famero total de v\u00edctimas y p\u00e9rdidas financieras derivadas de esta actividad.<\/p>\n El archivo de almacenamiento de la trampa explosiva se crea de manera que contenga un archivo de imagen y una carpeta con el mismo nombre.<\/p>\n Como resultado, cuando una v\u00edctima hace clic en la imagen, se ejecuta un script por lotes presente dentro de la carpeta, que luego se utiliza para iniciar la siguiente etapa, un archivo SFX CAB dise\u00f1ado para extraer e iniciar archivos adicionales. Al mismo tiempo, el gui\u00f3n tambi\u00e9n carga la imagen se\u00f1uelo para no despertar sospechas.<\/p>\n “CVE-2023-38831 se debe a un error de procesamiento al abrir el archivo en el archivo ZIP”, dijo Polovinkin a The Hacker News. “Los archivos ZIP armados se han distribuido en al menos 8 foros comerciales populares, por lo que la geolocalizaci\u00f3n de las v\u00edctimas es amplia y los ataques no est\u00e1n dirigidos a pa\u00edses o industrias espec\u00edficas”.<\/p>\n A\u00fan no se sabe qui\u00e9n est\u00e1 detr\u00e1s de los ataques que aprovechan la falla de WinRAR. Dicho esto, DarkMe es un troyano de Visual Basic atribuido al grupo EvilNum, documentado por primera vez por NSFOCUS en septiembre de 2022 en relaci\u00f3n con un campa\u00f1a de phishing<\/a> nombre en clave casino oscuro<\/a> dirigido a los servicios europeos de comercio y juegos de azar en l\u00ednea.<\/p>\n Tambi\u00e9n se entrega utilizando este m\u00e9todo una variedad de malware llamada GuLoader (tambi\u00e9n conocido como CloudEye) que posteriormente intenta recuperar Remcos RAT desde un servidor remoto.<\/p>\n “Los casos recientes de explotaci\u00f3n de CVE-2023-38831 nos recuerdan los riesgos constantes relacionados con las vulnerabilidades del software”, dijo Polovinkin. “Los actores de amenazas son muy ingeniosos y siempre encontrar\u00e1n nuevas formas de descubrir y posteriormente explotar vulnerabilidades”.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/Microsoft-Addresses-Critical-Power-Platform-Flaw-After-Delays-and-Criticism.png\")
<\/a><\/center><\/section>\n![\"winrar\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/1692917873_891_Fallo-de-seguridad-de-WinRAR-explotado-en-ataques-de-dia.jpg\" "\\"winrar\\"\/")
<\/div>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2023\/08\/China039s-APT31-Suspected-in-Attacks-on-Air-Gapped-Systems-in-Eastern.gif\")
<\/a><\/center><\/section>\n