Los atacantes explotaron WinRAR cero

Jun 03, 2023

Los atacantes con motivación financiera han explotado una vulnerabilidad de día cero en WinRAR (CVE-2023-38831) para engañar a los comerciantes para que instalen malware que les permitiría robar dinero de las cuentas de los corredores.

"Esta vulnerabilidad se ha explotado desde abril de 2023", afirma el analista de malware de Group-IB, Andrey Polovinkin. Los dispositivos de al menos 130 comerciantes (y probablemente más) han sido infectados con malware en esta campaña.

CVE-2023-38831 es una vulnerabilidad de suplantación de extensión de archivo que permitía a los atacantes crear un archivo RAR o ZIP modificado que contenía archivos inofensivos y maliciosos (scripts ubicados en una carpeta con el mismo nombre que el archivo inofensivo).

“Todos los archivos que identificamos fueron creados utilizando el mismo método. También todos tenían una estructura similar, que consistía en un archivo señuelo y una carpeta que contenía una combinación de archivos maliciosos y no utilizados. Si el usuario abre el archivo señuelo, que aparece como .txt, .jpg. u otra extensión de archivo en WinRAR, en su lugar se ejecuta un script malicioso”, explicó Polovinkin.

El archivo señuelo también se abre para completar la ilusión, pero en segundo plano el malware DarkMe, GuLoader y/o Remcos RAT se instala silenciosamente, lo que permite a los atacantes acceder de forma remota a la computadora de la víctima.

Los analistas de amenazas de Group-IB descubrieron que CVE-2023-38831 estaba siendo explotado para propagar el malware DarkMe a principios de julio de 2023.

“Inicialmente, nuestra investigación nos llevó a creer que se trataba de una evolución conocida de una vulnerabilidad descubierta previamente por el investigador de seguridad Danor Cohen en 2014. Se observó un método para modificar el encabezado ZIP para falsificar extensiones de archivos, pero una investigación más profunda reveló que esto no era el caso”, señaló Polovinkin.

Los actores de la amenaza se dirigieron a los comerciantes a través de foros en línea especializados, primero involucrándolos en debates y luego supuestamente ofreciéndoles documentos que ofrecían estrategias o consejos sobre problemas o intereses específicos.

“Tomando como ejemplo uno de los foros afectados, algunos de los administradores se dieron cuenta de que se estaban compartiendo archivos dañinos en el foro y posteriormente emitieron una advertencia a los usuarios. A pesar de esta advertencia, se realizaron más publicaciones y más usuarios se vieron afectados. Nuestros investigadores también vieron evidencia de que los actores de amenazas pudieron desbloquear cuentas que fueron deshabilitadas por los administradores del foro para continuar propagando archivos maliciosos, ya sea publicando en hilos o enviando mensajes privados”, agregó.

Se desconoce cuánto dinero pudieron retirar los actores de amenazas de las cuentas de los corredores de las víctimas ni a qué grupo cibercriminal pertenecen.

RARLAB solucionó CVE-2023-38831 en la última actualización de WinRAR (v6.23), junto con una vulnerabilidad RCE de alta gravedad (CVE-2023-40477).

Si es usuario de WinRAR, actualice manualmente a esta versión lo antes posible. Con toda la información sobre vulnerabilidades que se ha hecho pública, es posible que otros atacantes pronto encuentren formas de replicar el exploit original o incluso crear herramientas fáciles de usar que puedan permitir a los ciberdelincuentes menos expertos en tecnología crear archivos con trampas explosivas para explotar este defecto.