Ako još uvek koristite WinRAR, obratite pažnju na ovu opasnu ranjivost
Prevaranti su pokušali da distribuiraju malware zvani VenomRAT, maskirajući ga kao proof-of-concept (PoC) za novo otkrivenu ranjivost u programu WinRAR.
Lažni PoC za WinRAR-a širi se internetom
Nedavno su istraživači sa područja sajber bezbednosti iz kompanije Unit 42 (Palo Alto Networks) pronašli deo koda koji je postavljen na GitHub platformu, tvrdeći da je PoC za CVE-2023-40477. Ova ranjivost omogućava napadačima da izvrše proizvoljan kod na ciljanim uređajima ako žrtve pokrenu prilagođeni RAR fajl u starijim verzijama programa WinRAR pre verzije 6.23.
Ovu ranjivost je otkrio Zero Day Initiative kompanije Trend Micro početkom juna 2023. godine, a ispravljena je početkom avgusta verzijom 6.23 ovog popularnog arhivskog programa.
Ubrzo nakon javnog otkrivanja ranjivosti, zlonamerni akter je postavio deo koda na GitHub platformu, tvrdeći da je PoC za ovu ranjivost. Postavljanje je čak i došlo sa readme fajlom i video demonstracijom kako koristiti alat.
Međutim, u stvarnosti, ovaj kod samo preuzima kodirani PowerShell skript koji, zauzvrat, preuzima VenomRAT malware. Ovaj malware obavlja niz aktivnosti, uključujući beleženje svih pritisnutih tastera i popis instaliranih aplikacija i aktivnih procesa. Ovaj malware može se koristiti za implementaciju drugih payloada i krađu pristupnih podataka. Portal BleepingComputer upozorava da svi koji su pokrenuli ovaj lažni PoC promene lozinke za sve sajtove i okoline koje koriste.
Istraživači iz Unit 42 takođe su naveli da je infrastruktura zlonamernog aktera bila aktivna mnogo pre nego što je payload postavljen na GitHub, što implicira da bi isto mogli pokušati i u budućnosti, koristeći drugu ranjivost. Nalog korisnika koji je postavio lažni PoC sada je neaktivan, dodali su.
GitHub je izuzetno popularna platforma za čuvanje koda i kao takva glavna meta hakera. Većinom pokušavaju da prevare razvojne inženjere da preuzmu malware putem tzv. typosquattinga i zloupotrebe identiteta.
Izvor: Techradar
