Une faille de sécurité récemment corrigée dans le logiciel d’archivage populaire WinRAR est exploitée comme un jour zéro depuis avril 2023, révèlent de nouvelles découvertes du Group-IB.
La vulnérabilité, cataloguée comme CVE-2023-38831, permet aux acteurs malveillants d’usurper les extensions de fichiers, permettant ainsi de lancer des scripts malveillants contenus dans une archive qui se font passer pour des fichiers image ou texte apparemment inoffensifs. Ce problème a été résolu dans la version 6.23 publiée le 2 août 2023, aux côtés de CVE-2023-40477.
Lors d’attaques découvertes par la société basée à Singapour en juillet 2023, des fichiers d’archives ZIP ou RAR spécialement conçus distribués via des forums liés au trading tels que Forex Station ont été utilisés pour diffuser une variété de familles de logiciels malveillants telles que DarkMe, GuLoader et Remcos RAT.
« Après avoir infecté les appareils, les cybercriminels retirent de l’argent des comptes des courtiers », déclare Andrey Polovinkin, analyste des logiciels malveillants chez Group-IB. dit, ajoutant que jusqu’à 130 appareils de commerçants ont été compromis dans le cadre de la campagne. Le nombre total de victimes et les pertes financières résultant de cette activité ne sont actuellement pas clairs.
Le fichier d’archive piégé est créé de telle sorte qu’il contient un fichier image ainsi qu’un dossier du même nom.
En conséquence, lorsqu’une victime clique sur l’image, un script batch présent dans le dossier est exécuté à la place, qui est ensuite utilisé pour lancer l’étape suivante, une archive SFX CAB conçue pour extraire et lancer des fichiers supplémentaires. Dans le même temps, le script charge également l’image leurre afin de ne pas éveiller les soupçons.
« CVE-2023-38831 est dû à une erreur de traitement lors de l’ouverture du fichier dans l’archive ZIP », a déclaré Polovinkin à The Hacker News. « Des archives ZIP militarisées ont été distribuées sur au moins 8 forums commerciaux populaires, de sorte que la géolocalisation des victimes est large et que les attaques ne ciblent pas des pays ou des secteurs spécifiques. »
On ne sait pas encore qui est à l’origine des attaques exploitant la faille WinRAR. Cela dit, DarkMe est un cheval de Troie Visual Basic attribué au groupe EvilNum, documenté pour la première fois par NSFOCUS en septembre 2022 en lien avec un campagne de phishing nom de code Casino sombre ciblant les services européens de jeux et de trading en ligne.
Cette méthode utilise également une souche de malware appelée GuLoader (alias CloudEye) qui tente ensuite de récupérer Remcos RAT à partir d’un serveur distant.
« Les récents cas d’exploitation de CVE-2023-38831 nous rappellent les risques constants liés aux vulnérabilités logicielles », a déclaré Polovinkin. « Les auteurs de menaces sont très ingénieux et trouveront toujours de nouveaux moyens de découvrir et ensuite d’exploiter les vulnérabilités. »