Una falla de seguridad recientemente parcheada en el popular software de archivo WinRAR ha sido explotada como un Zero-Day desde abril de 2023.
La vulnerabilidad, catalogada como CVE-2023-38831, permite a los actores de amenazas falsificar extensiones de archivo, lo que hace posible lanzar scripts maliciosos contenidos en un archivo que se hace pasar por archivos de imagen o texto aparentemente inofensivos. Se abordó en la versión 6.23 lanzada el 2 de agosto de 2023, junto con CVE-2023-40477.
En los ataques descubiertos por la firma con sede en Singapur en julio de 2023, se han utilizado archivos de archivo ZIP o RAR especialmente diseñados distribuidos a través de foros relacionados con el comercio, como Forex Station, para entregar una variedad de familias de malware como DarkMe, GuLoader y Remcos RAT.
“Después de infectar dispositivos, los ciberdelincuentes retiran dinero de las cuentas de los corredores”, dijo el analista de malware de Group-IB Andrey Polovikin, agregando que hasta 130 dispositivos de comerciantes se han visto comprometidos como parte de la campaña. El número total de víctimas y las pérdidas financieras derivadas de esta actividad no están claras actualmente.
El archivo de almacenamiento con trampas explosivas se crea de tal manera que contiene un archivo de imagen, así como una carpeta con el mismo nombre.
Como resultado, cuando una víctima hace clic en la imagen, se ejecuta un script por lotes presente dentro de la carpeta, que luego se utiliza para lanzar la siguiente etapa, un archivo SFX CAB diseñado para extraer y lanzar archivos adicionales. Al mismo tiempo, el script también carga la imagen señuelo para no despertar sospechas.
“CVE-2023-38831 es causado por un error de procesamiento al abrir el archivo en el archivo ZIP”, dijo Polovinkin. “Los archivos ZIP armados se han distribuido en al menos 8 foros comerciales populares, por lo que la geolocalización de las víctimas es amplia y los ataques no están dirigidos a países o industrias específicas”.
Todavía no se sabe quién está detrás de los ataques que aprovechan la falla WinRAR. Dicho esto, DarkMe es un troyano de Visual Basic atribuido al grupo EvilNum, documentado por primera vez por NSFOCUS en septiembre de 2022 en relación con una campaña de phishing con nombre en código DarkCasino dirigida a los servicios europeos de juegos de azar y comercio en línea.
También se entrega utilizando este método una cepa de malware llamada GuLoader (también conocida como CloudEye) que posteriormente intenta obtener Remcos RAT de un servidor remoto.
“Los casos recientes de explotación de CVE-2023-38831 nos recuerdan los riesgos constantes relacionados con las vulnerabilidades de software”, dijo Polovikin. “Los actores de amenazas son muy ingeniosos y siempre encontrarán nuevas formas de descubrir y, posteriormente, explotar las vulnerabilidades”.
