Reading Time: 2 minutes
Campanha de malspam explora falha do WinRAR para disseminar backdoor.

Especialistas descobriram uma campanha de malspam que está a distribuir um ficheiro RAR malicioso que pode explorar a falha do WinRAR para instalar malware num computador.

Na semana passada, especialistas da CheckPoint revelaram uma vulnerabilidade crítica com 19 anos no WinRAR e que podia ser explorada de forma a obter total controlo sobre um determinado computador.

Ao que tudo aponta, mais de 500 milhões de utilizadores em todo o mundo usam o software e são potencialmente impactados pela falha que afeta todas as versões lançadas nos últimos 19 anos.

A falha é um problema de “Absolute Path Traversal” uma biblioteca de terceiros, chamada UNACEV2.DLL, e até criada pelo próprio developer do Winrar, que pode ser explorada de forma a executar código arbitrário utilizando um ficheiro especialmente criado.

 

De forma a remendar o problema a equipa do Winrar optou por uma medida radical.  Eles deixaram de usar a biblioteca UNACEV2.dll e lancaram a versão WINRar 5.70 beta 1 que não suporta atualmente o formato ACE.

Nestes últimos dias, , investigadores do 360 Threat Intelligence Center descobriram uma campanha de malspam que está a distribuir um ficheiro RAR malicioso que pode explorar a falha para instalar o malware num computador.

An attacker leveraging the path traversal vulnerability could extract compressed files to a folder of their choice rather than the folder chosen by the user. Dropping a malicious code into Windows Startup folder it would automatically run on the next reboot.

 

Especialista do 360 Threat Intelligence Center descobriram um e-mail que estava a distribuir um ficheiro RAR especialmente criado que, quando descompactado, infecta o sistema com um backdoor.

 

 

É o primeiro caso de malware distribuído aproveitando a falha recentemente descoberta no WinRAR, o código malicioso é gerado pelo MSF e escrito para a global startup folder caso o UAC estiver desativado.

WinRAR-exploit

 

É claro que, se o UAC estiver em execução, o ataque falha por causa da falta de permissões para escrever na pasta específica, mas se o UAC estiver desativado ou o WinRAR estiver a ser executado com privilégios de administrador, ele conseguirá descarregar (drop) o ficheiro na pasta desejada.

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe.

 

“Now that CMSTray.exe is extracted to the user’s Startup folder, on the next login the executable will be launched. Once launched, it will copy the CMSTray.exe to %Temp%\wbssrv.exe and execute the wbssrv.exe file.”reported BleepingComputer.

 

O malware comunica com o endpoint hxxp://138[.]204[.]171[.]108/ para descarregar ferramentas adicionais, incluindo uma Cobalt Strike Beacon DLL que permite estabelecer um backdoor no sistema infectado.

malwar