Español
English
Français
Deutsch
Italiano
Português
日本語
한국어
Русский
Hogar
May 30, 2023
winrar cero
Una vulnerabilidad de día cero de WinRar identificada como CVE-2023-38831 fue explotada activamente para instalar malware al hacer clic en archivos inofensivos en un archivo, lo que permitió a los piratas informáticos violar las criptomonedas en línea.
Una vulnerabilidad de día cero de WinRar identificada como CVE-2023-38831 fue explotada activamente para instalar malware al hacer clic en archivos inofensivos en un archivo, lo que permitió a los piratas informáticos violar cuentas comerciales de criptomonedas en línea.
La vulnerabilidad ha estado bajo explotación activa desde abril de 2023, lo que ha ayudado a distribuir varias familias de malware, incluidas DarkMe, GuLoader y Remcos RAT.
La vulnerabilidad de día cero de WinRAR permitió a los actores de amenazas crear archivos maliciosos .RAR y .ZIP que mostraban archivos aparentemente inofensivos, como imágenes JPG (.jpg), archivos de texto (.txt) o documentos PDF (.pdf).
Sin embargo, cuando un usuario abre el documento, la falla provocará que se ejecute un script que instala malware en el dispositivo.
BleepingComputer probó un archivo malicioso compartido por Group-IB, quien descubrió la campaña, y simplemente al hacer doble clic en un PDF se ejecutó un script CMD para instalar malware.
El día cero se solucionó en la versión 6.23 de WinRAR, lanzada el 2 de agosto de 2023, que también resuelve varios otros problemas de seguridad, incluido CVE-2023-40477, una falla que puede desencadenar la ejecución de comandos al abrir un archivo RAR especialmente diseñado.
En un informe publicado hoy, investigadores de Group-IB dijeron que descubrieron que el día cero de WinRAR se utilizaba para apuntar a foros de comercio de acciones y criptomonedas, donde los piratas informáticos se hacían pasar por otros entusiastas que compartían sus estrategias comerciales.
Estas publicaciones en el foro contenían enlaces a archivos WinRAR ZIP o RAR especialmente diseñados que pretendían incluir la estrategia comercial compartida, que constaba de archivos PDF, archivos de texto e imágenes.
El hecho de que esos archivos estén dirigidos a comerciantes lo demuestran los títulos de las publicaciones del foro, como "mejor estrategia personal para operar con Bitcoin".
Los archivos maliciosos se distribuyeron en al menos ocho foros comerciales públicos e infectaron 130 dispositivos confirmados de comerciantes. Se desconoce el número de víctimas y pérdidas económicas resultantes de esta campaña.
Cuando se abren los archivos, los usuarios verán lo que parece ser un archivo inofensivo, como un PDF, con una carpeta que coincide con el mismo nombre de archivo, como se muestra a continuación.
Sin embargo, cuando el usuario hace doble clic en el PDF, la vulnerabilidad CVE-2023-38831 iniciará silenciosamente un script en la carpeta para instalar malware en el dispositivo. Al mismo tiempo, estos scripts también cargarán el documento señuelo para no despertar sospechas.
La vulnerabilidad se activa al crear archivos especialmente diseñados con una estructura ligeramente modificada en comparación con los archivos seguros, lo que hace que la función ShellExecute de WinRAR reciba un parámetro incorrecto cuando intenta abrir el archivo señuelo.
Esto hace que el programa omita el archivo inofensivo y en su lugar localice y ejecute un script CMD o por lotes, por lo que, aunque el usuario asume que abre un archivo seguro, el programa inicia uno diferente.
El script se ejecuta para iniciar un archivo CAB autoextraíble (SFX) que infecta la computadora con varias cepas de malware, como las infecciones DarkMe, GuLoader y Remcos RAT, proporcionando acceso remoto a un dispositivo infectado.
Aunque la cepa de malware DarkMe se ha asociado con el grupo EvilNum con motivación financiera, no está claro quién aprovechó CVE-2023-38831 en la campaña observada recientemente.
DarkMe se ha utilizado anteriormente en ataques con motivación financiera, por lo que es posible que los atacantes se dirijan a los comerciantes para robar sus criptoactivos.
Remcos RAT brinda a los atacantes un control más poderoso sobre los dispositivos infectados, incluida la ejecución de comandos arbitrarios, registro de teclas, captura de pantalla, administración de archivos y capacidades de proxy inverso, por lo que también podría facilitar las operaciones de espionaje.
Group-IB descubrió CVE-2023-38831 en julio de 2023 y la empresa de seguridad ha publicado hoy un informe detallado sobre su explotación en estado salvaje.
Se insta a los usuarios de WinRAR a actualizar a la última versión, la versión 6.23 en el momento de escribir este artículo, lo antes posible para eliminar el riesgo de suplantación de archivos y otros ataques revelados recientemente.
La falla de WinRAR permite a los piratas informáticos ejecutar programas al abrir archivos RAR
Los sistemas informáticos del gobierno noruego fueron pirateados mediante una falla de día cero
Adobe corrige la omisión de parche para la falla explotada de ColdFusion CVE-2023-29298
El martes de parches de julio de 2023 de Microsoft advierte sobre 6 días cero y 132 fallas
Más de 3.000 servidores Openfire vulnerables a ataques de adquisición
Promoción de archivos maliciosos en un foro de comerciantes de criptomonedasContenido de un archivo ZIP maliciosoScript CMD de Windows ejecutado por la vulnerabilidad CVE-2023-38831Cadena de infección aprovechando CVE-2023-38831