Nguồn – Lỗ hổng zero-day của WinRar được theo dõi là CVE-2023-38831 đã bị khai thác tích cực để cài đặt phần mềm độc hại khi nhấp vào các tệp vô hại trong kho lưu trữ, cho phép tin tặc xâm nhập các tài khoản giao dịch tiền điện tử trực tuyến.

Lỗ hổng này đã được khai thác tích cực kể từ tháng 4 năm 2023, giúp phát tán nhiều dòng phần mềm độc hại khác nhau, bao gồm DarkMe, GuLoader và Remcos RAT.

Lỗ hổng zero-day của WinRAR cho phép kẻ đe dọa tạo các kho lưu trữ .RAR và .ZIP độc hại hiển thị các tệp dường như vô hại, chẳng hạn như hình ảnh JPG (.jpg), tệp văn bản (.txt) hoặc tài liệu PDF (.pdf).

Tuy nhiên, khi người dùng mở tài liệu, lỗ hổng sẽ khiến tập lệnh cài đặt phần mềm độc hại trên thiết bị được thực thi.

BleepingComputer đã thử nghiệm một kho lưu trữ độc hại được chia sẻ bởi Group-IB. Nhóm này đã phát hiện ra chiến dịch này và chỉ cần nhấp đúp vào một tệp PDF sẽ khiến tập lệnh CMD được thực thi để cài đặt phần mềm độc hại.

Lỗi zero-day đã được sửa trong  WinRAR phiên bản 6.23 , phát hành vào ngày 2 tháng 8 năm 2023, phiên bản này cũng giải quyết một số vấn đề bảo mật khác,  bao gồm CVE-2023-40477 , một lỗ hổng có thể kích hoạt việc thực thi lệnh khi mở tệp RAR được chế tạo đặc biệt.

Trong một báo cáo được công bố hôm nay, các nhà nghiên cứu từ Group-IB cho biết họ đã phát hiện ra lỗ hổng zero-day của WinRAR đang được sử dụng để nhắm mục tiêu vào các diễn đàn giao dịch chứng khoán và tiền điện tử, nơi các tin tặc giả vờ là những người đam mê khác để chia sẻ chiến lược giao dịch của họ.

Các bài đăng trên diễn đàn này chứa các liên kết đến các kho lưu trữ WinRAR ZIP hoặc RAR được chế tạo đặc biệt giả vờ bao gồm chiến lược giao dịch được chia sẻ, bao gồm các tệp PDF, tệp văn bản và hình ảnh.

Thực tế là những nhà giao dịch mục tiêu lưu trữ đó được thể hiện qua các tiêu đề bài đăng trên diễn đàn, như “Chiến lược cá nhân tốt nhất để giao dịch với Bitcoin”.

Các kho lưu trữ độc hại đã được phân phối trên ít nhất tám diễn đàn giao dịch công cộng, lây nhiễm sang thiết bị của 130 nhà giao dịch đã được xác nhận. Hiện chưa rõ số lượng nạn nhân và tổn thất tài chính do chiến dịch này gây ra.

Khi mở kho lưu trữ, người dùng sẽ thấy những gì có vẻ là một tệp vô hại, chẳng hạn như PDF, với một thư mục khớp với cùng tên tệp, như hiển thị bên dưới.

Tuy nhiên, khi người dùng nhấp đúp vào tệp PDF, lỗ hổng CVE-2023-38831 sẽ lặng lẽ khởi chạy một tập lệnh trong thư mục để cài đặt phần mềm độc hại trên thiết bị. Đồng thời, các script này cũng sẽ tải tài liệu mồi nhử để không gây nghi ngờ.

Lỗ hổng được kích hoạt bằng cách tạo các kho lưu trữ được chế tạo đặc biệt với cấu trúc được sửa đổi một chút so với các tệp an toàn, khiến chức năng ShellExecute của WinRAR nhận được tham số không chính xác khi nó cố mở tệp mồi nhử.

Điều này dẫn đến việc chương trình bỏ qua tệp vô hại và thay vào đó định vị và thực thi một tập lệnh batch hoặc CMD, do đó, trong khi người dùng cho rằng họ mở một tệp an toàn, chương trình sẽ khởi chạy một tệp khác.

Tập lệnh thực thi để khởi chạy kho lưu trữ CAB tự giải nén (SFX) lây nhiễm vào máy tính nhiều loại phần mềm độc hại khác nhau, chẳng hạn như lây nhiễm DarkMe, GuLoader và Remcos RAT, cung cấp quyền truy cập từ xa vào thiết bị bị nhiễm.

Mặc dù chủng phần mềm độc hại DarkMe có liên quan đến nhóm EvilNum có động cơ tài chính nhưng vẫn chưa rõ ai đã tận dụng CVE-2023-38831 trong chiến dịch được quan sát gần đây.

DarkMe trước đây đã được sử dụng trong các cuộc tấn công có động cơ tài chính, vì vậy có thể những kẻ tấn công nhắm mục tiêu vào các nhà giao dịch để đánh cắp tài sản tiền điện tử của họ.

Remcos RAT cung cấp cho kẻ tấn công quyền kiểm soát mạnh mẽ hơn đối với các thiết bị bị nhiễm, bao gồm thực thi lệnh tùy ý, ghi nhật ký thao tác bàn phím, chụp màn hình, quản lý tệp và khả năng proxy ngược, do đó, nó cũng có thể tạo điều kiện thuận lợi cho các hoạt động gián điệp.

Group-IB đã phát hiện ra CVE-2023-38831 vào tháng 7 năm 2023 và công ty bảo mật này hôm nay đã công bố một  báo cáo chi tiết  về hoạt động khai thác ngoài tự nhiên của nó.

Người dùng WinRAR được khuyến khích nâng cấp lên phiên bản mới nhất, phiên bản 6.23 tại thời điểm viết bài này, càng sớm càng tốt để loại bỏ nguy cơ giả mạo tệp và các cuộc tấn công khác được tiết lộ gần đây.

Xem demo và dựng lab thực hành vơi 1 Kali 2020 là Attacker và máy Windows 10 cài Winrar 622 (tải trên nhóm tele).

Exploiting And Detecting WinRAR Zero Day Vulnerability (CVE 2023 38831) – Kali Purple Lab Series