WinRAR, nuova emergenza: falla zero-day sfruttata per colpire trader online
Da aprile gli utenti WinRAR sono nel mirino di una grave falla zero-day che permette di distribuire malware attraverso archivi ZIP apparentemente innocui. Ad essere colpiti soprattutto trader e utenti di forum finanziari
di Andrea Bai pubblicata il 24 Agosto 2023, alle 12:31 nel canale SicurezzaE' stata recentemente scoperta una grave falla zero-day nel popolare software di compressione file WinRAR e l'analisi della società di cybersecurity Group-IB evidenzia come essa sia stata attivamente sfruttata da aprile ad oggi da attaccanti ignoti.
La vulnerabilità, che interessa il modo in cui WinRAR gestisce il formato ZIP, viene sfruttata inviando di immagini JPG o archivi apparentemente innocui che, una volta aperti dalla vittima, consentono l'esecuzione remota di codice dannoso capace di installare malware come DarkMe, GuLoader e Remcos RAT.
Archivi ZIP dannosi diffusi su forum finanziari per installare malware
La falla è stata utilizzata in particolare per prendere di mira utenti impegnati in attività di trading online. Gli archivi ZIP dannosi individuati da Group-IB erano stati infatti pubblicati su forum pubblici utilizzati da trader per scambiarsi informazioni e discutere di criptovalute e altri titoli. Group-IB ha identificato otto popolari forum di trading utilizzati per diffondere i file, i quali venivano per lo più allegati ai post del forum e, solo in alcuni casi, distribuiti tramite il sito di cloud storage catbox[.]moe.
Andrey Polovinkin, analista malware di Group-IB, spiega:
"Sfruttando una vulnerabilità in questo programma, gli attori delle minacce sono stati in grado di creare archivi ZIP che fungono da vettori per varie famiglie di malware. Gli archivi ZIP dannosi sono stati distribuiti su forum di trading. Una volta estratti ed eseguiti, il malware permette agli attaccanti di prelevare denaro dai conti di intermediazione. Questa vulnerabilità è stata sfruttata sin da aprile 2023".
Al momento non è noto il numero esatto di utenti colpiti, anche se Group-IB ne ha tracciati almeno 130. In almeno un caso, gli amministratori di uno dei forum hanno avvisato gli utenti dopo aver scoperto che file dannosi erano stati distribuiti sulla piattaforma. Nonostante gli avvertimenti, però, gli attaccanti hanno intensificato il numero di post così da colpire un maggior numero di utenti. Non solo, gli analisti di Group-IB hanno inoltre scoperto che in alcuni casi gli attaccanti sono stati in grado di sbloccare account disabilitati dagli amministratori del forum per continuare a diffondere file dannosi, sia pubblicando nuovi messaggi nei thread che inviando messaggi privati.
La vulnerabilità permette di contraffare le estensioni dei file, il che offre la possibilità di nascondere l'esecuzione di codice dannoso all'interno di un archivio camuffato da ".jpg", ".txt" o qualsiasi altro formato file. In questo modo viene creato un archivio ZIP che contiene file legittimi e file dannosi e quando la vittima apre uno di questi archivi normalmente visualizza un file immagine e una cartella con lo stesso nome del file. Quando la vittima cerca di aprire il file, viene eseguito uno script che avvia la successiva fase dell'attacco.
Non sorprenderebbe scoprire che la falla sia stata sfruttata anche in altri modi. Già nel 2019 una vulnerabilità WinRAR simile (CVE-2018-20250) venne utilizzata attivamente nel giro di poche settimane dalla sua divulgazione, in almeno cinque campagne distinte ad opera di diversi criminali informatici.Ad aggravare il quadro, WinRAR vanta oltre 500 milioni di utenti che utilizzano il software proprio per decomprimere e gestire archivi di grandi dimensioni. È abitudine diffusa estrarre i file ZIP appena scaricati, senza prima controllarne il contenuto. Inoltre i software antivirus faticano a rilevare codici maligni all'interno di dati compressi. Tutto ciò rende gli utenti WinRAR un obiettivo appetibile per i cybercriminali.
Gli sviluppatori di WinRAR sono intervenuti per risolvere la falla, identificata come CVE-2023-38831, all'inizio di questo mese. Gli utenti sono invitati ad aggiornare il software alla versione più recente, o almeno alla versione 6.23 che risolve, tra l'altro, un'altra pericolosa falla di cui vi abbiamo già parlato nei giorni scorsi e che permette di lanciare comandi da remoto all'apertura di un archivio compromesso.
1 Commenti
Gli autori dei commenti, e non la redazione, sono responsabili dei contenuti da loro inseriti - infoDevi effettuare il login per poter commentare
Se non sei ancora registrato, puoi farlo attraverso questo form.
Se sei già registrato e loggato nel sito, puoi inserire il tuo commento.
Si tenga presente quanto letto nel regolamento, nel rispetto del "quieto vivere".