WinRAR стана опасен без вина за 500 млн. потребители

Любопитни потребители на WinRAR могат да станат жертви на хитра измама
(снимка: CC0 Public Domain)

Уязвимост в популярния архиватор WinRAR, която беше затворена от разработчиците на продукта, застрашава косвено половин милиард потребители по света. Киберпрестъпник прилага хитра схема за разпространение на злонамерен софтуер, възползвайки се от шума около WinRAR.

Уязвимостта CVE-2023-40477 беше открита и коригирана от разработчиците на WinRAR през август 2023 г. Но въпреки това находчив киберизмамник използва шума около тази уязвимост, за да приложи хитра схема за разпространение на зловреден софтуер.

Хитра схема за инфектиране

Хакер с псевдоним whalersplonk стои зад нова атака срещу потребителите на архиватора. Той се възползва от интереса към уязвимостта CVE-2023-40477, която позволяваше изпълнение на произволен код на компютъра на жертвата и изземване на контрола върху него, и компилира програма за демонстрация на функционалността на тази уязвимост, съобщи Hacker News.

С други думи, хакерът е написал RoC (Proof of Concept) експлойт и го е публикувал на портала GitHub (собственост на Microsoft) с пълната увереност, че широкото отразяване на проблема CVE-2023-40477 в интернет ще привлече вниманието към неговото творение.

Разработчиците на WinRAR поправиха грешката CVE-2023-40477 в компилация 6.23, пусната през август 2023 г., но най-вероятно не всички потребители са актуализирали архиватора на своите компютри.

PoC експлойтите са създадени, за да демонстрират ясно какво могат да направят атакуващите на компютър, ако се случи истинско хакване. В случая с програмата на whalersplonk всичко е съвсем различно: единствената цел, преследвана от хакера, е да зарази потребителите, които искат да видят последствията от използването на CVE-2023-40477, с друг зловреден софтуер.

Стартирането на хакерската програма активира цяла верига от действия, кое от кое по-вредни за компютъра на потребителя. В крайна сметка злонамереният софтуер VenomRAT се изтегля във фонов режим и това е един вид ключ към всички врати, тъй като дава на киберпрестъпника пълен достъп до компютъра.

Освен всичко друго, хакерската програма може да следи какво въвежда потребителят на клавиатурата, като по този начин позволява на киберпрестъпника да влезе в кореспонденцията на жертвата и да узнае нейните пароли.

По същество whalersplonk е написал скрипт на Python, който е леко модифициран експлойт за уязвимостта CVE-2023-25157 в програмата GeoServer. Когато бъде пуснат, този скрипт създава  batch-скрипт за изтегляне на PowerShell скрипт, който пък изтегля VenomRAT от интернет и същевременно създава скрипт в планировчика на задачи за редовно пускане на злонамерения софтуер.

На вълната на любопитството

Хакерът, който се възползва от любопитството на потребителите на WinRAR, играе на сигурно и прикрива програмата си колкото е възможно по-дълго като нещо напълно безобидно и дори, напротив, полезно. В профила си в GitHub той публикува Readme файл, в който описва подробно какво прави програмата и как да се използва. Разбира се, във файла не се споменава за фоновото изтегляне на зловредния софтуер.

За да приспи окончателно бдителността на потребителите, хакерът публикува 20-секунден запис от екрана, в който демонстрира работата на програмата. Освен това публикува и кратко видео в платформата Streamable.

Към момента на публикуване на материала профилът на whalersplonk в GitHub вече е недостъпен – блокиран или изтрит, но видеото в Streamable все още остава отворено. Качен на 22 август 2023 г., клипът е гледан около 340 пъти.

Факти за WinRAR

Първата версия на архиватора WinRAR, създадена от руския програмист Евгений Рошал, излезе преди повече от 28 години – през април 1995 г. Днес той е един от най-известните и разпространени архиватори в света – има около половин милиард потребители.

В WinRAR периодично се появяват както незначителни, така и критични уязвимости, но разработчиците се опитват бързо да ги отстранят – CVE-2023-40477, например, беше затворена само няколко дни след откриването ѝ. През 2015 г. се разчу за критичен бъг в WinRAR, който позволява злонамерен HTML код да бъде вграден в саморазархивиращ се RAR архив.

През февруари 2019 г. беше открита опасна „дупка” в WinRAR, чието използване дава възможност на атакуващия да разопакова необходимия му архив в произволна директория на Windows – например архив със зловреден софтуер в папката за стартиране, който се активира при всяко включване на компютъра.

Коментар