La vulnerabilità CVE-2023-40477 non è l’unica risolta con la versione 6.23 di WinRAR. Come indicato nelle note di rilascio, gli esperti di Group-IB hanno scoperto la vulnerabilità zero-day CVE 2023-38831 che consente di installare vari malware nascosti in archivi ZIP.

Accesso agli account dei trader

Durante l’analisi delle attività online della famiglia di malware DarkMe, i ricercatori di Group-IB hanno individuato molti archivi ZIP sospetti. Questi ultimi sono stati inseriti in post pubblicati su popolari forum di trading. All’interno ci sono diversi file apparentemente innocui (JPG, PDF e altri).

Se l’ignara vittima apre il file JPG o PDF viene eseguito lo script CMD presente nella directory con lo stesso nome del file. La vulnerabilità zero-day CVE 2023-38831 consente di eseguire lo script perché l’archivio ZIP ha una struttura modificata che causa la ricezione del parametro sbagliato per la funzione ShellExecute di WinRAR.

Lo script lancia un archivio SFX CAB auto-estraente che installa sul computer vari tipi di malware, tra cui DarkMe, GuLoader e Remcos RAT. Quest’ultimo consente l’accesso remoto e l’esecuzione di varie attività. DarkMe permette invece di accedere agli account dei trader e quindi di effettuare transazioni finanziarie e rubare fondi o criptovalute.

Sebbene DarkMe sia stato utilizzato principalmente dal gruppo EvilNum, gli esperti di Group-IB non hanno individuato gli autori della recente campagna malware. Ovviamente è consigliato l’uso della versione 6.23 di WinRAR. Un’alternativa valida e gratuita è 7-Zip.