Một nhóm tin tặc đã phát hành một khai thác bằng chứng giả mạo (PoC) cho lỗ hổng WinRAR được tiết lộ gần đây trên GitHub nhằm mục đích lây nhiễm cho những người dùng đã tải xuống mã bằng phần mềm độc hại VenomRAT.
Robert Falcone, nhà nghiên cứu của Palo Alto Networks Unit 42 cho biết: “PoC giả mạo nhằm khai thác lỗ hổng WinRAR này dựa trên tập lệnh PoC có sẵn công khai khai thác lỗ hổng SQL SQL trong một ứng dụng có tên GeoServer, được theo dõi là CVE -2023-25157 ”. .
Trong khi các PoC giả đã trở thành một chiêu bài được ghi chép rõ ràng để nhắm mục tiêu vào cộng đồng nghiên cứu , công ty an ninh mạng nghi ngờ rằng các tác nhân đe dọa đang nhắm mục tiêu một cách cơ hội vào những kẻ lừa đảo khác, những người có thể đang áp dụng các lỗ hổng mới nhất vào kho vũ khí của họ.
Whalersplonk, tài khoản GitHub lưu trữ kho lưu trữ, không thể truy cập được nữa. PoC được cho là đã được cam kết vào ngày 21 tháng 8 năm 2023, bốn ngày sau khi lỗ hổng được công bố công khai.
CVE-2023-40477 liên quan đến sự cố xác thực không đúng trong tiện ích WinRAR có thể bị khai thác để thực thi mã từ xa (RCE) trên hệ thống Windows. Nó đã được các nhà bảo trì giải quyết vào tháng trước trong phiên bản WinRAR 6.23, cùng với một lỗ hổng bị khai thác tích cực khác được theo dõi là CVE-2023-38831 .
Phân tích kho lưu trữ cho thấy tập lệnh Python và video có thể phát trực tuyến trình bày cách sử dụng cách khai thác. Video đã thu hút tổng cộng 121 lượt xem.
Tập lệnh Python, trái ngược với việc chạy PoC, tiếp cận một máy chủ từ xa (checkblacklistwords[.]eu) để tìm nạp một tệp thực thi có tên Windows.Gaming.Preview.exe, một biến thể của Venom RAT . Nó đi kèm với khả năng liệt kê các tiến trình đang chạy và nhận lệnh từ máy chủ do tác nhân điều khiển (94.156.253[.]109).
Việc kiểm tra kỹ hơn cơ sở hạ tầng tấn công cho thấy tác nhân đe dọa đã tạo miền checkblacklistwords[.]eu ít nhất 10 ngày trước khi lỗ hổng được tiết lộ công khai, sau đó nhanh chóng nắm bắt mức độ nghiêm trọng của lỗi để thu hút nạn nhân tiềm năng.
Falcone cho biết: “Một tác nhân đe dọa không xác định đã cố gắng thỏa hiệp các cá nhân bằng cách phát hành PoC giả sau khi thông báo công khai về lỗ hổng bảo mật, để khai thác lỗ hổng RCE trong một ứng dụng nổi tiếng”.
“PoC này là giả mạo và không khai thác lỗ hổng WinRAR, cho thấy kẻ tấn công đã cố gắng lợi dụng RCE được săn đón nhiều trong WinRAR để xâm phạm người khác.”