Una nuova vulnerabilità zero-day nel popolare programma di compressione file WinRAR è stata sfruttata per quattro mesi da attaccanti sconosciuti. Questi ultimi la utilizzano per installare malware quando le vittime aprono file JPG e altri file apparentemente innocui all’interno degli archivi.
Dettagli sulla vulnerabilità
La vulnerabilità risiede nel modo in cui WinRAR elabora il formato di file ZIP. È stata attivamente sfruttata da aprile in forum di trading di titoli, come riportato dai ricercatori della società di sicurezza Group IB. Gli attaccanti hanno utilizzato la vulnerabilità per eseguire codice in remoto che installa malware di varie famiglie, tra cui DarkMe, GuLoader e Remcos RAT. Successivamente, i criminali prelevano denaro dagli account dei broker. Il totale delle perdite finanziarie e il numero totale di vittime infettate sono sconosciuti, anche se Group-IB ha identificato almeno 130 individui noti per essere stati compromessi. I sviluppatori di WinRAR hanno corretto la vulnerabilità, identificata come CVE-2023-38831, all’inizio di questo mese.
Archivi ZIP come arma
Gli attaccanti hanno sfruttato una vulnerabilità all’interno di WinRAR per creare archivi ZIP che fungono da vettori per varie famiglie di malware. Questi archivi “armati” sono stati distribuiti su forum di trading. Una volta estratti ed eseguiti, il malware permette agli attaccanti di prelevare denaro dagli account dei broker. Questa vulnerabilità è stata sfruttata da aprile 2023.
Catena di infezione complessa
Gli attaccanti hanno lanciato una catena di infezione intricata. Sfruttano una vulnerabilità che permette loro di falsificare le estensioni dei file, nascondendo così l’esecuzione di codice malevolo all’interno di un archivio che si finge un file ‘.jpg’, ‘.txt’ o qualsiasi altro formato. Creano un archivio ZIP contenente sia file malevoli che non malevoli. Se la vittima clicca sul file esca, viene eseguito uno script che avvia la fase successiva dell’attacco.
Consigli per gli utenti
Ora che la vulnerabilità è diventata di dominio pubblico, è probabile che venga sfruttata su larga scala. Si consiglia a chiunque utilizzi WinRAR di aggiornare alla versione 6.23 prima di utilizzare nuovamente il programma.