Conhecido Cybergang explora falha do WinRAR para atacar clientes do Windows Enterprise
Quatorze meses atrás, os pesquisadores da CheckPoint encontraram uma biblioteca de vínculo dinâmico (DLL) vulnerável, utilizada pela popular ferramenta de compactação WinRar. A dll permite que arquivos maliciosos sejam arquivados usando o formato de compactação .ace para inserir a máquina de destino na extração do WinRAR. A falha, que imediatamente expôs a meio bilhão de usuários do WinRAR a possíveis ataques, foi tão séria que o fornecedor do programa lançou uma versão atualizada do software que não suportava mais a extração de arquivos .ace. No entanto, eles nunca lançaram um patch para a versão 5.61 atual (e mais antiga), a implicação é que um grande número de usuários do WinRAR permanecem em risco até hoje.
Fatos rápidos das explorações do cybergang:
- Uma gangue de cibercrime conhecida como MuddyWater desenvolveu o exploit.
- As vítimas mais recentes são clientes da Enterprise Microsoft que fornecem serviços de satélite e comunicações.
- A ameaça chegou como uma coleção de arquivos compactados .ace capazes de plantar malware em um PC após a extração do WinRar.
Índice
As últimas vítimas da falha do WinRAR
A julgar pelo ataque recente contra clientes corporativos do Microsoft Windows que fornecem serviços de satélite e comunicações, a exploração ainda é muito ativa. Em março de 2019, a divisão de Proteção Avançada contra Ameaças (ATP) do Office 365 da Microsoft detectou uma coleção de arquivos .ace maliciosos em muitas máquinas baseadas no Windows 10 Enterprise pertencentes a clientes corporativos. Descobriu-se que os dados em questão exploravam a vulnerabilidade CVE-2018-20250, ou seja, a falha associada ao arquivo .dll comprometido, responsável pela extração dos arquivos .ace de todas as versões do WinRAR bar 5.70 (a atual). Embora o WinRAR tenha lançado o v5.70 há mais de um ano, muitos usuários ainda precisam atualizar para a nova versão livre de arquivos.
O primeiro suspeito - um conhecido grupo APT
Segundo a Microsoft, foi a MuddyWater, uma equipe da Advanced Persistent Threat (APT), que iniciou o ataque de março de 2019. Os hackers da MuddyWater são conhecidos por enviar e-mails de spear phishing para entidades públicas e organizações empresariais nos Estados Unidos, Europa e Oriente Médio. Até agora, a gangue MuddyWater realizou ataques na Jordânia, Turquia, Arábia Saudita, Azerbaijão, Iraque, Paquistão e Afeganistão, para citar apenas alguns. Toda intervenção incluiu malware de macro incorporado em um anexo de documento de um email de spam. Abrir o arquivo anexado resultou em uma solicitação para ativar as macros, enquanto a última permitia a execução remota de código.
Desta vez é um pouco diferente, embora
Parece que a nova campanha apresenta uma abordagem ligeiramente modificada. Em vez de plantar um arquivo do Word repleto de malware, os bandidos anexam um documento livre de macro. Este último contém um URL do OneDrive que, quando aberto, descarta um arquivo ace contendo outro arquivo do Word. Ao contrário do anexo original, o novo documento é abundante com macros maliciosas. A infecção é bem sucedida se o destinatário desavisado:
- Ativa macros quando solicitado.
- Aceita reinicializar o PC para corrigir um arquivo .dll ausente.
Fazendo o primeiro traz a carga de malware - um arquivo chamado dropbox.exe - para a pasta de inicialização do Windows. Fazer o último carrega o malware durante a inicialização do sistema, dando aos invasores no servidor C & C acesso remoto ao computador correspondente.
O grande número de usuários do WinRAR em todo o mundo apresenta desafios para uma transição rápida para a versão atual 5.70. Infelizmente, ainda é a única versão do WinRAR em circulação imune à vulnerabilidade do CVE-2018-20250.