Il Threat Analysis Group di Google ha scoperto diversi attacchi, effettuati da cybercriminali finanziati da Russia e Cina, che sfruttano la vulnerabilità CVE-2023-38831 di WinRAR. Le campagne descritte dall’azienda di Mountain View sono state avviate all’inizio del 2023, quando il bug non era ancora noto. RARLAB ha rilasciato la patch il 2 agosto, ma molti utenti non hanno installato l’aggiornamento e sono ancora vulnerabili.
Exploit per WinRAR in circolazione
WinRAR 6.23 include le patch per due vulnerabilità: CVE-2023-40477 (scoperta da un ricercatore di Trend Micro Zero Day Inititive) e CVE-2023-38831 (scoperta da un ricercatore di Group-IB). Quest’ultima è stata sfruttata per colpire diverse aziende.
La vulnerabilità zero-day permette di eseguire codice arbitrario, quando l’ignara vittima tenta di visualizzare un file (ad esempio PNG, JPG o PDF) che contiene uno spazio nel nome. Il doppio clic causa l’estrazione del file e della directory con lo stesso nome nella directory temporanea creata da WinRAR.
La funzione ShellExecute di Windows non apre il file perché c’è uno spazio nel nome (non consentito), ma esegue il file CMD (lo script che installa il malware) presente nella directory con lo stesso nome del file.
La vulnerabilità è stata sfruttata dal gruppo FROZENBARENTS (SANDWORM), affiliato al GRU della Russia, per distribuire l’info-stealer Rhadamanthys. I target erano aziende ucraine che operano nel settore dell’energia. Le organizzazioni governative dell’Ucraina sono state colpite anche da FROZENLAKE, un altro gruppo affiliato al GRU.
Il gruppo ISLANDDREAMS, finanziato dal governo cinese, ha invece sfruttato la vulnerabilità per colpire utenti in Papua Nuova Guinea con la backdoor BOXRAT. Il consiglio è ovviamente quello di installare la versione più recente di WinRAR. In alternativa è possibile usare 7-Zip oppure Windows 11 (Moment 4 supporta diversi formati compressi).
Ti potrebbe interessare
18 ott 2023