ΑρχικήSecurityΨεύτικο WinRAR proof-of-concept exploit κάνει drop το VenomRAT malware

Ψεύτικο WinRAR proof-of-concept exploit κάνει drop το VenomRAT malware

Ένας χάκερ διαδίδει ένα ψευδές proof-of-concept (PoC) exploit για μια πρόσφατα διορθωθείσα ευπάθεια του WinRAR στο GitHub, επιχειρώντας να μολύνει τους downloaders με το malware VenomRAT.

Η ομάδα ερευνητών της Unit 42 της Palo Alto Networks εντόπισε ένα ψεύτικο PoC exploit, αναφέροντας ότι ο επιτιθέμενος ανέβασε το κακόβουλο κώδικα στο GitHub στις 21 Αυγούστου 2023.

Η επίθεση δεν είναι πλέον ενεργή, αλλά ξανατονίζει τους κινδύνους της ανάκτησης PoCs από το GitHub και την εκτέλεσή τους χωρίς πρόσθετο έλεγχο για να διασφαλίσουμε την ασφάλειά τους.

Διάδοση του WinRAR PoC

Το ψεύτικο PoC αφορά την ευπάθεια CVE-2023-40477, μια ευπάθεια εκτέλεσης αυθαίρετου κώδικα που ενεργοποιείται όταν ανοίγονται ειδικά διαμορφωμένα αρχεία RAR στο WinRAR πριν από την έκδοση 6.23.

Το Zero Day Initiative της Trend Micro ανακάλυψε και αποκάλυψε την ευπάθεια στο WinRAR στις 8 Ιουνίου 2023, αλλά δεν την αποκάλυψε δημοσίως μέχρι τις 17 Αυγούστου 2023. Το WinRAR διόρθωσε το ελάττωμα στην έκδοση 6.23, η οποία κυκλοφόρησε στις 2 Αυγούστου.

Ένας χάκερ που δρα με το ψευδώνυμο “whalersplonk” εκμεταλλεύτηκε γρήγορα (4 ημέρες) μια ευκαιρία, εξαπλώνοντας κακόβουλο λογισμικό με την εμφάνιση κώδικα exploit για τη νέα ευπάθεια του WinRAR.

Ο δράστης περιέλαβε μια περίληψη στο αρχείο README και ένα βίντεο της Streamable που δείχνει πώς να χρησιμοποιήσετε το PoC, προσθέτοντας περαιτέρω νομιμότητα στο κακόβουλο πακέτο.

Ωστόσο, η Unit 42 αναφέρει ότι το ψεύτικο Python PoC script είναι στην πραγματικότητα μια τροποποίηση ενός δημοσίως διαθέσιμου exploit για ένα άλλο ελάττωμα, το CVE-2023-25157, ένα κρίσιμο ελάττωμα SQL injection που επηρεάζει τον GeoServer.

Όταν εκτελείται, αντί να εκτελεί το exploit, το PoC δημιουργεί ένα batch script που κατεβάζει ένα κωδικοποιημένο PowerShell script και το εκτελεί στην τελική συσκευή.

Το αναφερόμενο script κατεβάζει το κακόβουλο λογισμικό VenomRAT και δημιουργεί μια προγραμματισμένη εργασία για την εκτέλεσή του κάθε τρία λεπτά.

Μολύνσεις από το VenomRAT

Μόλις το VenomRAT εκτελεστεί σε μια συσκευή Windows, εκτελεί ένα key logger που καταγράφει όλα τα πατήματα πλήκτρων και τα αποθηκεύει σε ένα τοπικά αποθηκευμένο αρχείο κειμένου.

Στη συνέχεια, το malware δημιουργεί επικοινωνία με τον C2 διακομιστή, από όπου λαμβάνει μια από τις εννέα παρακάτω εντολές προς εκτέλεση στην μολυσμένη συσκευή:

  1. plu_gin: Ενεργοποιεί ένα plugin που είναι αποθηκευμένη στο μητρώο.
  2. HVNCStop: Σκοτώνει τη διαδικασία “cvtres”
  3. loadofflinelog: Στέλνει offline key logger δεδομένα από %APPDATA%.
  4. save_Plugin: Αποθηκεύει ένα plugin στο μητρώο κάτω από ένα hardware ID.
  5. runningapp: Εμφανίζει τις ενεργές διεργασίες.
  6. keylogsetting: Ενημερώνει το key log file στον φάκελο %APPDATA%.
  7. init_reg: Διαγράφει τις υποκλειδίες στο μητρώο Software κάτω από ένα αναγνωριστικό υλικού.
  8. Po_ng: Μετρά το χρόνο μεταξύ ενός PING στον C2 server και της λήψης αυτής της εντολής.
  9. filterinfo: Εμφανίζει τις εγκατεστημένες εφαρμογές και τις ενεργές διεργασίες από το μητρώο.

Καθώς το malware μπορεί να χρησιμοποιηθεί για να εγκαταστήσει άλλα αρχεία φορτίου και να κλέψει διαπιστευτήρια, οποιοσδήποτε εκτέλεσε αυτό το ψεύτικο PoC θα πρέπει να αλλάξει τους κωδικούς πρόσβασης για όλες τις ιστοσελίδες και τα περιβάλλοντα στα οποία έχει λογαριασμό.

Ο χρονολογικός πίνακας των γεγονότων που κοινοποίησε η Unit 42 υποδεικνύει ότι ο χάκερ προετοίμασε τη υποδομή για την επίθεση και το φορτίο πριν από τη δημόσια αποκάλυψη της ευπάθειας του WinRAR και στη συνέχεια περίμενε την κατάλληλη στιγμή για να δημιουργήσει ένα ψεύτικο PoC.

Αυτό υπονοεί ότι ο ίδιος επιτιθέμενος μπορεί, στο μέλλον, να εκμεταλλευτεί την αυξημένη προσοχή της ασφάλειας κοινότητας σε νεοαποκαλυπτόμενες ευπάθειες για να διαδώσει άλλα παραπλανητικά PoC για διάφορα ελαττώματα.

Πηγή πληροφοριών: bleepingcomputer.com

Teo Ehc
Teo Ehchttps://www.secnews.gr
Be the limited edition.
spot_img

Εγγραφή στο Newsletter

* indicates required

FOLLOW US

LIVE NEWS