Использование уязвимости WinRAR ACE

Несколько дней назад мы сообщили об уязвимости WinRAR ACE, существовавшей 19 лет. Хотя производители избавились от уязвимой DLL в последней версии WinRAR, этого, безусловно, недостаточно для защиты 500 миллионов уязвимых клиентов. Возможно, хакеры раскрыли информацию об уязвимости, поскольку уже начали использовать недостаток вредоносного спама. Предположительно, они использовали уязвимость WinRAR ACE для установки бэкдора.

Уязвимость WinRAR ACE, используется для MalSpam

Через несколько дней после того, как стала известна уязвимость WinRAR ACE, исследователи из 360 Threat Intelligence Center обнаружили ее активную эксплуатацию.

В своем недавнем твите, 360 Threat Intelligence Center рассказали свои выводы.

Possibly the first malware delivered through mail to exploit WinRAR vulnerability. The backdoor is generated by MSF and written to the global startup folder by WinRAR if UAC is turned off.https://t.co/bK0ngP2nIy

IOC:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D
— 360 Threat Intelligence Center (@360TIC) February 25, 2019

После твита, Bleeping Computer углубились в открытие 360 CIT.

Что касается стратегии использования, оба источника подтвердили, что вредоносная программа работает точно так же, как Check Point, описанный ранее. Вредоносный файл RAR, после попадания на ПК, извлекает файлы в папку «Автозагрузка», только если UAC выключен. В случае, если UAC включен, появится сообщение об ошибке от WinRAR.

После успешного извлечения вредоносного файла CMSTray.exe вредоносная программа полностью настроена на выполнение при следующем запуске зараженного устройства.

Bleeping Computers также объяснили следующие шаги атаки. Как сообщается, CMSTray.exe будет запускать wbssrv.exe — вредоносную программу, которая запрашивает и выполняет удаленные команды.

«После запуска он скопирует CMSTray.exe в %Temp%\wbssrv.exe и выполнит файл wbssrv.exe».

Использование уязвимости WinRAR ACE — Запуск %Temp%\wbssrv.exe (Источник: Bleeping Computer)

После запуска вредоносная программа загружает вредоносные файлы, в том числе Cobalt Strike Beacon DLL (инструмент для тестирования), подключаясь к [http]: //138.204.171.108/. Cobalt Strike Beacon поможет хакеру получить удаленный доступ к устройству. После проведения этих действий злоумышленник получает полный контроль над ПК и может выполнять произвольный код и команды.

Что нужно сделать?

Обновите WinRAR прямо сейчас, чтобы избежать атак MalSpam. Все, что нужно сделать, это удалить существующую версию WinRAR на устройстве и установить версию 5.7 beta 1 или новее. Также можно скачать микропатч от 0patch, который поможет в устранении уязвимости (CVE-2018-20250).