Especialistas descobriram uma campanha de malspam que está a distribuir um ficheiro RAR malicioso que pode explorar a falha do WinRAR para instalar malware num computador.
Na semana passada, especialistas da CheckPoint revelaram uma vulnerabilidade crítica com 19 anos no WinRAR e que podia ser explorada de forma a obter total controlo sobre um determinado computador.
Ao que tudo aponta, mais de 500 milhões de utilizadores em todo o mundo usam o software e são potencialmente impactados pela falha que afeta todas as versões lançadas nos últimos 19 anos.
A falha é um problema de “Absolute Path Traversal” uma biblioteca de terceiros, chamada UNACEV2.DLL, e até criada pelo próprio developer do Winrar, que pode ser explorada de forma a executar código arbitrário utilizando um ficheiro especialmente criado.
De forma a remendar o problema a equipa do Winrar optou por uma medida radical. Eles deixaram de usar a biblioteca UNACEV2.dll e lancaram a versão WINRar 5.70 beta 1 que não suporta atualmente o formato ACE.
Nestes últimos dias, , investigadores do 360 Threat Intelligence Center descobriram uma campanha de malspam que está a distribuir um ficheiro RAR malicioso que pode explorar a falha para instalar o malware num computador.
An attacker leveraging the path traversal vulnerability could extract compressed files to a folder of their choice rather than the folder chosen by the user. Dropping a malicious code into Windows Startup folder it would automatically run on the next reboot.
Especialista do 360 Threat Intelligence Center descobriram um e-mail que estava a distribuir um ficheiro RAR especialmente criado que, quando descompactado, infecta o sistema com um backdoor.
Possibly the first malware delivered through mail to exploit WinRAR vulnerability. The backdoor is generated by MSF and written to the global startup folder by WinRAR if UAC is turned off.https://t.co/bK0ngP2nIy
IOC:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D— 360 Threat Intelligence Center (@360TIC) February 25, 2019
É o primeiro caso de malware distribuído aproveitando a falha recentemente descoberta no WinRAR, o código malicioso é gerado pelo MSF e escrito para a global startup folder caso o UAC estiver desativado.
É claro que, se o UAC estiver em execução, o ataque falha por causa da falta de permissões para escrever na pasta específica, mas se o UAC estiver desativado ou o WinRAR estiver a ser executado com privilégios de administrador, ele conseguirá descarregar (drop) o ficheiro na pasta desejada.
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe.
“Now that CMSTray.exe is extracted to the user’s Startup folder, on the next login the executable will be launched. Once launched, it will copy the CMSTray.exe to %Temp%\wbssrv.exe and execute the wbssrv.exe file.”reported BleepingComputer.
O malware comunica com o endpoint hxxp://138[.]204[.]171[.]108/ para descarregar ferramentas adicionais, incluindo uma Cobalt Strike Beacon DLL que permite estabelecer um backdoor no sistema infectado.
malwar