Различные киберпреступные группы и отдельные хакеры все еще используют недавно исправленную уязвимость выполнения критического кода в WinRAR , популярном приложении для сжатия файлов Windows, которое насчитывает 500 миллионов пользователей по всему миру.
Зачем? Потому что программное обеспечение WinRAR не имеет функции автообновления, что, к сожалению, делает миллионы его пользователей уязвимыми для кибератак.
Критическая уязвимость (CVE-2018-20250), исправленная в конце прошлого месяца командой WinRAR с выпуском WinRAR версии 5.70, затрагивает все предыдущие версии WinRAR, выпущенные за последние 19 лет.
Для тех, кто не знает, уязвимость заключается в ошибке «Absolute Path Traversal», которая находится в старой сторонней библиотеке UNACEV2.DLL WinRAR и позволяет злоумышленникам извлечь сжатый исполняемый файл из архива ACE в одну из папок автозагрузки Windows, где вредоносный файл будет автоматически запускаться при следующей перезагрузке.
Таким образом, чтобы успешно использовать эту уязвимость и получить полный контроль над целевыми компьютерами, злоумышленнику достаточно лишь убедить пользователей открыть сжатый архивный файл, созданный злонамеренно, с помощью WinRAR.
Сразу после того, как подробности и код эксплойта (PoC) стали достоянием общественности, злоумышленники начали использовать уязвимость в почтовой кампании с рассылкой вредоносного спама для установки вредоносных программ на компьютеры пользователей, на которых установлена уязвимая версия программного обеспечения.
Теперь исследователи безопасности из McAfee сообщили, что они выявили более 100 «уникальных эксплойтов и подсчетов» за первую неделю с момента публичного раскрытия уязвимости, при этом большинство первоначальных целей находилось в Соединенных Штатах.
Одна недавняя кампания была обнаружена исследователями в виде контрабандной копии хитового альбома Ariana Grande, который в настоящее время обнаруживается как вредоносное ПО только 11 продуктами безопасности, тогда как 53 антивирусных продукта не предупреждают своих пользователей.
Обнаруженный McAfee вредоносный файл RAR (Ariana_Grande-thank_u, _next (2019) _ [320] .rar), извлекает список безвредных файлов MP3 в папку загрузки жертвы, а также устанавливает вредоносный EXE-файл в папку запуска, которая была предназначен для заражения целевого компьютера вредоносным ПО.
«Когда для извлечения содержимого этого архива используется уязвимая версия WinRAR, вредоносная полезная нагрузка создается за кулисами в папке«Автозагрузка», — объясняют исследователи.
«Контроль доступа пользователей (UAC) обойден, поэтому пользователю не выводится предупреждение. При следующем перезапуске системы запускается вредоносное ПО».
К сожалению, такие кампании все еще продолжаются, и лучший способ защитить себя от таких атак — обновить свою систему, установив последнюю версию программного обеспечения WinRAR, как можно скорее и избежать открытия файлов, полученных из неизвестных источников.
