Os caçadores de malware do Threat Analysis Group (TAG) do Google dizem que grupos de hackers apoiados pelo governo de diferentes países estão se banqueteando com uma falha de segurança bem documentada no popular utilitário de arquivamento de arquivos WinRAR, mais de três meses após o lançamento dos patches.
A vulnerabilidade de execução de código WinRAR, rastreada como CVE-2023-38831, foi corrigida em julho após exploração de dia zero foi detectado, mas agora, três meses depois, o Google diz que grupos APT ligados à Rússia e à China ainda estão usando a exploração com sucesso.
“Grupos de crimes cibernéticos começaram a explorar a vulnerabilidade no início de 2023, quando o bug ainda era desconhecido pelos defensores. Um patch já está disponível, mas muitos usuários ainda parecem vulneráveis”, disse Kate Morgan, do Google, em um comunicado. observação documentando as descobertas do APT. “Depois que uma vulnerabilidade for corrigida, os atores mal-intencionados continuarão a contar com n dias e a usar taxas lentas de correção em seu benefício.”
Morgan disse que a falha, que permite que invasores executem código arbitrário quando um usuário tenta visualizar um arquivo benigno (como um arquivo PNG comum) dentro de um arquivo ZIP, é conhecida desde pelo menos abril de 2023 e atraiu imediatamente o interesse dos atores da ameaça. .
“Horas depois da postagem no blog [about zero-day exploitation] foi lançado, provas de conceito e geradores de exploração foram carregados em repositórios públicos do GitHub. Pouco depois disso, a TAG começou a observar atividades de testes tanto de atores motivados financeiramente quanto de APT que faziam experiências com CVE-2023-38831”, acrescentou Morgan.
Em um caso, o Google TAG detectou o Sandworm, ligado à Rússia, entregando documentos PDF falsos e arquivos ZIP maliciosos que exploravam o bug do WinRAR. Sandworm, alinhado com a Unidade da Diretoria Principal do Estado-Maior General (GRU) das Forças Armadas Russas, usou a exploração para entregar um infostealer de commodities que é capaz de coletar e exfiltrar credenciais de navegador e informações de sessão de máquinas infectadas.
Morgan documentou outro incidente em que APT28, outra equipe de hackers ligada ao GRU russo, usou um provedor de hospedagem gratuito para servir CVE-2023-38831 para atingir usuários na Ucrânia.
O Google disse que também detectou grupos apoiados pelo governo ligados à China lançando explorações WinRAR em ataques direcionados contra usuários em Papua Nova Guiné.
“A exploração generalizada do bug WinRAR destaca que as explorações de vulnerabilidades conhecidas podem ser altamente eficazes, apesar de um patch estar disponível. Mesmo os invasores mais sofisticados farão apenas o que for necessário para atingir seus objetivos”, alertou Morgan.
Os defeitos de segurança de software na ferramenta WinRAR são constantemente alvo de cibercriminosos e grupos APT. A Cibersegurança Notícias relatou recentemente vários incidentes de exploração do WinRAR, incluindo o uso por hackers motivados financeiramente contra comerciantes e agentes de ameaças avançadas apoiados por .gov.