Un attore malintenzionato ha rilasciato un falso proof-of-concept (PoC) per una vulnerabilità di WinRAR recentemente divulgata su GitHub con l’obiettivo di infettare gli utenti che hanno scaricato il codice con il malware Venom RAT.
Il falso PoC destinato a sfruttare questa vulnerabilità di WinRAR si basava su uno script PoC pubblicamente disponibile che sfruttava una vulnerabilità di SQL injection in un’applicazione chiamata GeoServer, identificata come CVE-2023-25157, ha dichiarato Robert Falcone, ricercatore di Palo Alto Networks Unit 42. Sebbene i PoC fasulli siano diventati una tattica ben documentata per prendere di mira la comunità di ricerca, l’azienda di cybersecurity sospetta che gli attori minacciosi stiano prendendo di mira in modo opportunistico altri criminali che potrebbero adottare le ultime vulnerabilità nel loro arsenale.
L’account GitHub, chiamato whalersplonk, che ospitava il repository, non è più accessibile. Si dice che il PoC sia stato inserito il 21 agosto 2023, quattro giorni dopo l’annuncio pubblico della vulnerabilità.
CVE-2023-40477 riguarda un problema di convalida impropria nell’utilità WinRAR che potrebbe essere sfruttato per ottenere l’esecuzione di codice remoto (RCE) sui sistemi Windows. È stato risolto il mese scorso dai manutentori nella versione WinRAR 6.23, insieme a un altro difetto attivamente sfruttato identificato come CVE-2023-38831.
Un’analisi del repository rivela uno script Python e un video Streamable che dimostra come utilizzare l’exploit. Il video ha attirato un totale di 121 visualizzazioni. Lo script Python, invece di eseguire il PoC, si collega a un server remoto (checkblacklistwords[.]eu) per recuperare un eseguibile chiamato Windows.Gaming.Preview.exe, che è una variante di Venom RAT. È dotato di capacità per elencare i processi in esecuzione e ricevere comandi da un server controllato dall’attore (94.156.253[.]109).
Un esame più approfondito dell’infrastruttura di attacco mostra che l’attore minaccioso ha creato il dominio checkblacklistwords[.]eu almeno 10 giorni prima della divulgazione pubblica del difetto, e poi ha rapidamente approfittato della criticità del bug per attirare potenziali vittime.
“Un attore minaccioso sconosciuto ha tentato di compromettere individui rilasciando un falso PoC dopo l’annuncio pubblico della vulnerabilità, per sfruttare una vulnerabilità RCE in un’applicazione ben nota”, ha detto Falcone. “Questo PoC è falso e non sfrutta la vulnerabilità di WinRAR, suggerendo che l’attore ha cercato di approfittare di un RCE molto ricercato in WinRAR per compromettere altri.”