Un actor malicioso lanzó un exploit falso de prueba de concepto (PoC) para una vulnerabilidad WinRAR recientemente revelada en GitHub con el objetivo de infectar a los usuarios que descargaron el código con el malware Venom RAT.
“La PoC falsa destinada a explotar esta vulnerabilidad WinRAR se basó en un script PoC disponible públicamente que explotó una vulnerabilidad de SQL Injection en una aplicación llamada GeoServer, que se rastrea como CVE-2023-25157“, dijo el investigador de la Unidad 42 de Palo Alto Networks, Robert Falcone.
Si bien las PoC falsas se han convertido en una táctica bien documentada para apuntar a la comunidad de investigación, la firma de ciberseguridad sospechaba que los actores de amenazas están apuntando de manera oportunista a otros delincuentes que pueden estar adoptando las últimas vulnerabilidades en su arsenal.
whalersplonk, la cuenta de GitHub que alojaba el repositorio ya no es accesible. Se ha informado que el commit con la PoC fue lanzado el 21 de agosto de 2023, cuatro días después de que la vulnerabilidad se anunciara públicamente.
CVE-2023-40477 se relaciona con un problema de validación incorrecta en la utilidad WinRAR que podría aprovecharse para lograr la ejecución remota de código (RCE) en sistemas Windows. Fue abordado el mes pasado por los mantenedores en la versión WinRAR 6.23, junto con otra falla explotada activamente rastreada como CVE-2023-38831.
Un análisis del repositorio revela un script de Python y un video Streamable que demuestra cómo usar el exploit. El video atrajo 121 visitas en total.
El script de Python, a diferencia de ejecutar la PoC, llega a un servidor remoto (checkblacklistwords[.] eu) para obtener un ejecutable llamado Windows.Gaming.Preview.exe, que es una variante de Venom RAT. Viene con capacidades para enumerar procesos en ejecución y recibir comandos de un servidor controlado por actores (94.156.253[.] 109).
Un análisis más detenido de la infraestructura de ataque revela que el actor de amenazas creó el dominio checkblacklistwords[.]eu al menos 10 días antes de la divulgación pública de la vulnerabilidad. Luego, aprovechó rápidamente la gravedad de la vulnerabilidad para atraer posibles víctimas.
“Un actor de amenazas desconocido intentó comprometer a individuos al publicar un PoC falso después de que la vulnerabilidad se hiciera pública, con el objetivo de explotar una vulnerabilidad de RCE ampliamente buscada en WinRAR y comprometer a otros. Este PoC es falso y no explota la vulnerabilidad de WinRAR, lo que sugiere que el actor intentó aprovechar una vulnerabilidad muy codiciada para comprometer a otros”.
