More

    WinRAR Zero-Day aktivno iskorištavan za distribuciju malware-a

    Novootkrivena zero-day ranjivost daljinskog izvršavanja koda u WinRAR-u je iskorištavana za distribuciju nekoliko porodica malware-a kao što su DarkMe, GuLoader i RemcosRAT. Prema istraživačima Grupe-IB, napadi koji koriste ovu grešku traju od aprila. 

    Istraživači Group-IB-a su naišli na napad dok su pratili aktivnost malware-a DarkMe. Iako je vrsta malware-a povezana s financijski motivisanom Evilnum grupom, nejasno je ko je iskoristio WinRAR propust da instalira malware.

    O kampanji 

    Hakeri su distribuisali naoružane zip arhive na najmanje osam javnih foruma koje redovno koriste internet trgovci. U nekoliko slučajeva, hakeri su takođe koristili besplatnu uslugu skladištenja datoteka pod nazivom catbox.moe za distribuciju zip arhiva. 

    • Jednom instaliran na sistemu, malware dobija pristup trgovačkim nalozima žrtve i izvršava neovlašćene transakcije za povlačenje sredstava. 
    • Administratori foruma su postali svjesni malicioznih datoteka i blokirali lažne naloge. Unatoč tome, hakeri su uspjeli deblokirati naloge i nastaviti sa širenjem malicioznih datoteka korisnicima putem privatnih poruka.
    • Administratori su takođe upozorili korisnike na pokušaje napada koji su u toku.

    Do sada je otkriveno da je u napadu zaraženo 130 uređaja trgovaca. 

    Zaroniti u manu

    • Zero-day ranjivost, praćena kao CVE-2023-3881, može omogućiti hakerima da lažiraju ekstenzije datoteka. 
    • To im omogućava da sakriju maliciozni kod u zip arhivama maskirajući se u jpg, txt i druge formate datoteka. 
    • Pokreće se preko posebno kreiranih arhiva kada žrtve otvore mamac datoteku, uzrokujući da WinRAR-ova ShellExecute funkcija primi netačan parametar.

    Završne riječi

    Preporučuje se da korisnici nadograde na najnoviju verziju (6.23) WinRAR-a što je prije moguće kako bi se eliminisao rizik od ovakvih napada. Osim toga, organizacije moraju ostati budne, ažurirati svoje sisteme i slijediti sigurnosne smjernice kako ne bi postale žrtve ovih napada.

    Izvor: Cyware Alerts – Hacker News

    Recent Articles

    spot_img

    Related Stories