Cybergang noto sfrutta il vecchio difetto di WinRAR per attaccare i clienti di Windows Enterprise
Quattordici mesi fa, i ricercatori di CheckPoint si sono imbattuti in una Dynamic Link Library (DLL) vulnerabile utilizzata dal popolare strumento di compressione WinRar. La DLL consente di archiviare i file dannosi utilizzando il formato di compressione .ace per accedere alla macchina di destinazione all estrazione di WinRAR. Il difetto, che ha immediatamente esposto mezzo miliardo di utenti WinRAR a potenziali attacchi, è stato così grave che il fornitore del programma ha rilasciato una versione aggiornata del software che non supportava estrazione di file ".ace". Tuttavia, non hanno mai rilasciato una patch per la versione 5.61 corrente (e precedente), il che implica che un gran numero di utenti WinRAR rimane a rischio fino ad oggi.
Brevi fatti degli exploit di cybergang:
- Una banda di criminali informatici nota come MuddyWater ha sviluppato exploit.
- Le ultime vittime sono i clienti Enterprise Microsoft che forniscono servizi satellitari e di comunicazione.
- La minaccia è arrivata come raccolta di file di archivio ".ace" compromessi in grado di installare malware su un PC dopo estrazione di WinRar.
Sommario
Le ultime vittime del difetto di WinRAR
A giudicare dal recente attacco contro i clienti Microsoft Windows aziendali che forniscono servizi satellitari e di comunicazione, exploit è ancora molto attivo. Nel marzo 2019, la divisione ATP (Office Advanced Protection Protection) di Microsoft Office 365 ha rilevato una raccolta di file .ace pericolosi su molte macchine basate su Windows 10 Enterprise appartenenti ai client aziendali. Si è scoperto che i dati in questione sfruttavano la vulnerabilità CVE-2018-20250, cioè il difetto associato al file .dll compromesso responsabile del estrazione degli archivi .ace da tutte le versioni WinRAR barra 5.70 (quella corrente). Sebbene WinRAR abbia rilasciato la v5.70 più di un anno fa, molti utenti devono ancora aggiornarsi alla nuova versione .ace-free.
The Prime Suspect: un noto gruppo APT
Secondo Microsoft, è stato MuddyWater, un team Advanced Persistent Threat (APT), che ha avviato attacco del marzo 2019. Gli hacker di MuddyWater sono noti per invio di e-mail di spear phishing a target di enti pubblici e organizzazioni aziendali negli Stati Uniti, in Europa e nel Medio Oriente. Finora, la banda di MuddyWater ha effettuato attacchi in Giordania, Turchia, Arabia Saudita, Azerbaigian, Iraq, Pakistan e Afghanistan per nominarne solo alcuni. Ogni intervento ha incluso macro malware incorporati in un allegato di un messaggio di posta indesiderata. apertura del file allegato ha comportato la richiesta di abilitare macro mentre quest ultima consentiva esecuzione di codice in modalità remota.
Questa volta è un po diverso, comunque
Sembra che la nuova campagna abbia un approccio leggermente modificato. Invece di piantare un file Word carico di malware, i criminali allegano invece un documento senza macro. Quest ultimo contiene un URL OneDrive che, una volta aperto, rilascia un archivio asso contenente un altro file Word. A differenza del allegato originale, il nuovo documento è abbondante con macro dannosi. infezione ha successo se il destinatario ignaro:
- Abilita le macro quando richiesto.
- Accetta di riavviare il PC per risolvere un "file .dll mancante".
Fare il primo porta il payload del malware - un file chiamato dropbox.exe - nella cartella di avvio di Windows. Facendo quest ultimo carica il malware durante avvio del sistema, dando agli aggressori accesso remoto del server C & C al computer corrispondente.
enorme numero di utenti WinRAR in tutto il mondo pone sfide per una rapida transizione alla versione corrente 5.70. Sfortunatamente, è ancora unica versione di WinRAR in circolazione immune alla vulnerabilità CVE-2018-20250.