Les attaquants ont exploité WinRAR zéro

Jun 03, 2023

Des attaquants motivés par des raisons financières ont exploité une vulnérabilité zero-day dans WinRAR (CVE-2023-38831) pour inciter les traders à installer des logiciels malveillants qui leur permettraient de voler de l'argent sur les comptes des courtiers.

« Cette vulnérabilité est exploitée depuis avril 2023 », déclare Andrey Polovinkin, analyste des logiciels malveillants du Group-IB. Les appareils d'au moins 130 commerçants (et probablement plus) ont été infectés par des logiciels malveillants au cours de cette campagne.

CVE-2023-38831 est une vulnérabilité d'usurpation d'extension de fichier, qui permettait aux attaquants de créer une archive RAR ou ZIP modifiée contenant des fichiers inoffensifs et malveillants (scripts situés dans un dossier portant le même nom que le fichier inoffensif).

« Toutes les archives que nous avons identifiées ont été créées selon la même méthode. Ils avaient également tous une structure similaire, composée d'un fichier leurre et d'un dossier contenant un mélange de fichiers malveillants et inutilisés. Si l'utilisateur ouvre le fichier leurre, qui apparaît au format .txt, .jpg. ou une autre extension de fichier dans WinRAR, un script malveillant est exécuté à la place », a expliqué Polovinkin.

Le fichier leurre est également ouvert pour compléter l'illusion, mais en arrière-plan, les logiciels malveillants DarkMe, GuLoader et/ou Remcos RAT sont installés en silence, permettant ainsi aux attaquants d'accéder à distance à l'ordinateur de la victime.

Les analystes des menaces du Group-IB ont découvert que CVE-2023-38831 était exploité pour propager le malware DarkMe début juillet 2023.

« Au départ, nos recherches nous ont amenés à croire qu'il s'agissait d'une évolution connue d'une vulnérabilité découverte précédemment par le chercheur en sécurité Danor Cohen en 2014. Une méthode de modification de l'en-tête ZIP pour usurper les extensions de fichiers a été observée, mais une enquête plus approfondie a révélé que ce n'était pas le cas. le cas », a noté Polovinkin.

Les auteurs de la menace ont ciblé les traders via des forums en ligne spécialisés, les engageant d'abord dans des discussions, puis en leur proposant des documents proposant des stratégies ou des conseils concernant des problèmes ou des intérêts spécifiques.

« En prenant comme exemple l'un des forums concernés, certains administrateurs ont pris conscience que des fichiers nuisibles étaient partagés sur le forum et ont ensuite émis un avertissement aux utilisateurs. Malgré cet avertissement, d’autres publications ont été publiées et davantage d’utilisateurs ont été concernés. Nos chercheurs ont également constaté que les auteurs de la menace étaient capables de débloquer des comptes désactivés par les administrateurs du forum pour continuer à diffuser des fichiers malveillants, que ce soit en les publiant dans des fils de discussion ou en envoyant des messages privés », a-t-il ajouté.

On ne sait pas combien d’argent les auteurs de la menace ont pu retirer des comptes de courtier des victimes, ni de quel groupe cybercriminel ils font partie.

CVE-2023-38831 a été corrigé par RARLAB dans la dernière mise à jour de WinRAR (v6.23), ainsi qu'une vulnérabilité RCE de haute gravité (CVE-2023-40477).

Si vous êtes un utilisateur de WinRAR, mettez à jour manuellement cette version dès que possible. Avec toutes les informations sur les vulnérabilités rendues publiques, d'autres attaquants pourraient bientôt trouver des moyens de reproduire l'exploit d'origine ou même de créer des outils faciles à utiliser qui pourraient permettre à des cybercriminels moins avertis en technologie de créer des fichiers d'archives piégés pour exploiter cela. défaut.