攻撃者は WinRAR ゼロを悪用しました

Jun 03, 2023

金銭目的の攻撃者が WinRAR のゼロデイ脆弱性 (CVE-2023-38831) を悪用し、トレーダーを騙してブローカー口座から資金を盗むことができるマルウェアをインストールさせました。

Group-IB マルウェア アナリストの Andrey Polovinkin 氏は、「この脆弱性は 2023 年 4 月から悪用されています」と述べています。 このキャンペーンでは、少なくとも 130 のトレーダー (おそらくそれ以上) のデバイスがマルウェアに感染しました。

CVE-2023-38831 はファイル拡張子のスプーフィングの脆弱性であり、攻撃者が無害なファイルと悪意のあるファイル (無害なファイルと同じ名前のフォルダーにあるスクリプト) を含む変更された RAR または ZIP アーカイブを作成することを可能にします。

「私たちが特定したアーカイブはすべて同じ方法で作成されました。 また、それらはすべて、おとりファイルと、悪意のあるファイルと未使用のファイルが混在するフォルダーで構成される、同様の構造を持っていました。 ユーザーがおとりファイルを開くと、.txt、.jpg として表示されます。 WinRAR の別のファイル拡張子を使用すると、代わりに悪意のあるスクリプトが実行されます」と Polovinkin 氏は説明しました。

錯覚を完了するためにおとりファイルも開かれますが、バックグラウンドで DarkMe、GuLoader、または Remcos RAT マルウェアが静かにインストールされ、攻撃者が被害者のコンピュータにリモート アクセスできるようになります。

Group-IB 脅威アナリストは、2023 年 7 月初旬に DarkMe マルウェアの拡散に CVE-2023-38831 が悪用されていることを発見しました。

「当初、私たちの調査により、これは 2014 年にセキュリティ研究者の Danor Cohen によって以前に発見された脆弱性の既知の進化であると考えるようになりました。ZIP ヘッダーを変更してファイル拡張子を偽装する方法が観察されましたが、さらなる調査により、これはそうではないことが判明しました」この事件は」とポロビンキン氏は指摘した。

攻撃者は専門のオンライン フォーラムを通じてトレーダーをターゲットにし、最初にトレーダーを議論に参加させ、次に特定の問題や関心に関する戦略やアドバイスを提供する文書を提供したと考えられています。

「影響を受けたフォーラムの 1 つを例に挙げると、管理者の一部は有害なファイルがフォーラム上で共有されていることに気づき、その後ユーザーに警告を発しました。 この警告にもかかわらず、さらに投稿が行われ、より多くのユーザーが影響を受けました。 また、私たちの研究者は、スレッドへの投稿やプライベート メッセージの送信によって、悪意のあるファイルを拡散し続けるためにフォーラム管理者によって無効にされたアカウントのブロックを、脅威アクターが解除できたという証拠も確認しました。」と彼は付け加えた。

攻撃者が被害者のブローカー口座からどれだけの金額を引き出すことができたのか、またどのサイバー犯罪グループに属しているのかは不明です。

CVE-2023-38831 は、重大度の高い RCE 脆弱性 (CVE-2023-40477) とともに、最新の WinRAR アップデート (v6.23) で RARLAB によって修正されました。

WinRAR ユーザーの場合は、できるだけ早くこのバージョンに手動で更新してください。 公開されたすべての脆弱性情報により、他の攻撃者が元のエクスプロイトを複製する方法をすぐに見つけたり、技術に詳しくないサイバー犯罪者がこれを悪用するためのブービートラップされたアーカイブ ファイルを作成できるようにする使いやすいツールを作成したりする可能性があります。欠陥。