Group-IB 的最新發(fā)現(xiàn)顯示，自 2023 年 4 月以來(lái)， WinRAR 壓縮軟件中一個(gè)最近修補(bǔ)的安全漏洞已被利用為零日漏洞。

該漏洞被標(biāo)記為 CVE-2023-38831，允許威脅者仿用文件擴(kuò)展名，從而在偽裝成看似無(wú)害的圖像或文本文件的壓縮包中啟動(dòng)惡意腳本。2023 年 8 月 2 日發(fā)布的 6.23 版本修補(bǔ)了這一漏洞，同時(shí)修復(fù)的還有 CVE-2023-40477。

在新加坡公司于 2023 年 7 月發(fā)現(xiàn)的攻擊中，通過(guò) Forex Station 等交易相關(guān)論壇分發(fā)的特制 ZIP 或 RAR 壓縮文件被用于傳播 DarkMe、GuLoader 和 Remcos RAT 等多種惡意軟件。

Group-IB 惡意軟件分析師安德烈-波羅文金（Andrey Polovinkin）說(shuō)：在感染設(shè)備后，網(wǎng)絡(luò)犯罪分子會(huì)從經(jīng)紀(jì)人賬戶中提取資金。目前尚不清楚受害者總?cè)藬?shù)和由此造成的經(jīng)濟(jì)損失。

誘殺壓縮文件的創(chuàng)建方式是包含一個(gè)圖像文件和一個(gè)同名文件夾。

因此，當(dāng)受害者點(diǎn)擊圖片時(shí)，文件夾中的批處理腳本就會(huì)被執(zhí)行，然后用于啟動(dòng)下一階段，即用于提取和啟動(dòng)其他文件的 SFX CAB 存檔。與此同時(shí)，腳本還會(huì)加載誘餌圖片，以免引起懷疑。

波羅文金告訴《黑客新聞》：CVE-2023-38831 是由于在打開 ZIP 壓縮包中的文件時(shí)出現(xiàn)處理錯(cuò)誤造成的。武器化的 ZIP 壓縮包已在至少 8 個(gè)流行的交易論壇上傳播，因此受害者的地理位置非常廣泛，攻擊并不針對(duì)特定的國(guó)家或行業(yè)。

目前還不知道誰(shuí)是利用 WinRAR 漏洞進(jìn)行攻擊的幕后黑手。盡管如此，DarkMe 是一種 Visual Basic 木馬，歸屬于 EvilNum 組織，NSFOCUS 于 2022 年 9 月首次記錄到它與一個(gè)代號(hào)為 DarkCasino 的針對(duì)歐洲在線賭博和交易服務(wù)的網(wǎng)絡(luò)釣魚活動(dòng)有關(guān)。

同樣使用這種手段傳播的還有一種名為 GuLoader（又名 CloudEye）的惡意軟件，它隨后會(huì)嘗試從遠(yuǎn)程服務(wù)器獲取 Remcos RAT。

Polovinkin 說(shuō)：最近利用 CVE-2023-38831 的案例提醒我們，與軟件漏洞相關(guān)的風(fēng)險(xiǎn)始終存在。攻擊者手段資源豐富，他們總能找到新的方法來(lái)發(fā)現(xiàn)并利用漏洞。

參考鏈接：https://thehackernews.com/2023/08/winrar-security-flaw-exploited-in-zero.html