Хакеры распространяют зловред под видом PoC для эксплойта WinRAR
Хакеры распространяют зловред под видом PoC для эксплойта WinRAR. Фото: СС0
Исследователи кибербезопасности из Unit 42 (Palo Alto Networks) недавно обнаружили фрагмент кода, загруженный на GitHub. В описании утверждалось, что это PoC для CVE-2023-40477. Это уязвимость, которая позволяет злоумышленникам запускать произвольный код на целевых конечных точках, если жертвы запускают специально настроенный файл RAR в WinRAR старше версии 6.23.
Эта уязвимость была обнаружена инициативой Trend Micro Zero Day Initiative в начале июня 2023 года и исправлена в начале августа в версии 6.23 популярной программы архивирования.
После публичного раскрытия уязвимости злоумышленник загрузил фрагмент кода на GitHub, заявив, что это PoC для уязвимости. Загрузка даже сопровождалась файлом readme и видеодемонстрацией того, как использовать этот инструмент.
На самом деле, однако, код просто загружает закодированный скрипт PowerShell, который, в свою очередь, загружает вредоносное ПО VenomRAT. Это вредоносное ПО выполняет ряд функций, в том числе регистрирует все нажатия клавиш и выводит список установленных приложений и активных процессов. Вредоносное ПО может быть использовано для развертывания других зловредов и кражи учетных данных. Всем, кто выполнил этот фальшивый PoC, нужно сменить свои пароли для всех сайтов и сред, которые они используют.
Исследователи Unit 42 также заявили, что инфраструктура злоумышленника была создана задолго до того, как полезная нагрузка была развернута на GitHub. Вероятно, хакеры могут повторить кампанию, но с другой уязвимостью. Учетная запись пользователя, загрузившая фейковый PoC, теперь неактивна.
Startpack подготовил список продуктов, которые помогают защитить IT-активы компании от заражения зловредами. Список содержит продукты российских и зарубежных разработчиков. Помимо защиты от вирусов, решения позволяют хранить и управлять паролями, разворачивать антиспам-системы, проводить резервное копирование данных, защищать не только персональные компьютеры, но и серверы, а также локальные сети предприятия.
Статьи по теме
Комментариев пока не было