Angreifer haben WinRAR Zero ausgenutzt

Jun 03, 2023

Finanziell motivierte Angreifer haben eine Zero-Day-Schwachstelle in WinRAR (CVE-2023-38831) ausgenutzt, um Händler dazu zu verleiten, Malware zu installieren, die es ihnen ermöglichen würde, Geld von Brokerkonten zu stehlen.

„Diese Schwachstelle wird seit April 2023 ausgenutzt“, sagt Andrey Polovinkin, Malware-Analyst bei Group-IB. Im Rahmen dieser Kampagne wurden Geräte von mindestens 130 Händlern (und wahrscheinlich mehr) mit Malware infiziert.

CVE-2023-38831 ist eine Schwachstelle durch Spoofing von Dateierweiterungen, die es Angreifern ermöglichte, ein modifiziertes RAR- oder ZIP-Archiv zu erstellen, das harmlose und bösartige Dateien (Skripte, die sich in einem Ordner mit demselben Namen wie die harmlose Datei befinden) enthält.

„Alle von uns identifizierten Archive wurden mit der gleichen Methode erstellt. Außerdem hatten sie alle eine ähnliche Struktur, bestehend aus einer Täuschungsdatei und einem Ordner, der eine Mischung aus schädlichen und ungenutzten Dateien enthielt. Wenn der Benutzer die Täuschungsdatei öffnet, erscheint diese als .txt, .jpg. oder eine andere Dateierweiterung in WinRAR, wird stattdessen ein bösartiges Skript ausgeführt“, erklärte Polovinkin.

Die Täuschungsdatei wird ebenfalls geöffnet, um die Illusion zu vervollständigen, aber im Hintergrund wird DarkMe-, GuLoader- und/oder Remcos-RAT-Malware stillschweigend installiert, sodass Angreifer aus der Ferne auf den Computer des Opfers zugreifen können.

Bedrohungsanalysten der Group-IB entdeckten Anfang Juli 2023, dass CVE-2023-38831 zur Verbreitung der DarkMe-Malware ausgenutzt wurde.

„Unsere Recherchen führten uns zunächst zu der Annahme, dass es sich hierbei um eine bekannte Weiterentwicklung einer Schwachstelle handelte, die zuvor vom Sicherheitsforscher Danor Cohen im Jahr 2014 entdeckt wurde. Es wurde eine Methode zur Änderung des ZIP-Headers beobachtet, um Dateierweiterungen zu fälschen, aber weitere Untersuchungen ergaben, dass dies nicht der Fall war der Fall“, bemerkte Polovinkin.

Die Bedrohungsakteure nahmen Händler über spezielle Online-Foren ins Visier, verwickelten sie zunächst in Diskussionen und boten ihnen dann angeblich Dokumente an, die Strategien oder Ratschläge zu bestimmten Problemen oder Interessen boten.

„Am Beispiel eines der betroffenen Foren stellten einige Administratoren fest, dass schädliche Dateien im Forum geteilt wurden, und gaben daraufhin eine Warnung an die Benutzer heraus. Trotz dieser Warnung wurden weitere Beiträge erstellt und weitere Benutzer waren betroffen. Unsere Forscher sahen auch Hinweise darauf, dass die Bedrohungsakteure in der Lage waren, Konten zu entsperren, die von Forumadministratoren deaktiviert wurden, um weiterhin schädliche Dateien zu verbreiten, sei es durch Beiträge in Threads oder durch das Versenden privater Nachrichten“, fügte er hinzu.

Es ist nicht bekannt, wie viel Geld die Bedrohungsakteure von den Brokerkonten der Opfer abheben konnten oder welcher Cyberkriminellengruppe sie angehören.

CVE-2023-38831 wurde von RARLAB im neuesten WinRAR-Update (v6.23) zusammen mit einer RCE-Schwachstelle mit hohem Schweregrad (CVE-2023-40477) behoben.

Wenn Sie WinRAR-Benutzer sind, aktualisieren Sie so schnell wie möglich manuell auf diese Version. Mit all den veröffentlichten Schwachstelleninformationen könnten andere Angreifer bald Wege finden, den ursprünglichen Exploit zu reproduzieren oder sogar benutzerfreundliche Tools zu entwickeln, die es weniger technisch versierten Cyber-Gaunern ermöglichen, mit Sprengfallen versehene Archivdateien zu erstellen, um dies auszunutzen Mangel.