零日攻击利用 WinRAR 安全漏洞锁定交易者

安全 漏洞
该漏洞被标记为 CVE-2023-38831,允许威胁者仿用文件扩展名,从而在伪装成看似无害的图像或文本文件的压缩包中启动恶意脚本。

Group-IB 的最新发现显示,自 2023 年 4 月以来, WinRAR 压缩软件中一个最近修补的安全漏洞已被利用为零日漏洞。

该漏洞被标记为 CVE-2023-38831,允许威胁者仿用文件扩展名,从而在伪装成看似无害的图像或文本文件的压缩包中启动恶意脚本。2023 年 8 月 2 日发布的 6.23 版本修补了这一漏洞,同时修复的还有 CVE-2023-40477。

在新加坡公司于 2023 年 7 月发现的攻击中,通过 Forex Station 等交易相关论坛分发的特制 ZIP 或 RAR 压缩文件被用于传播 DarkMe、GuLoader 和 Remcos RAT 等多种恶意软件。

Group-IB 恶意软件分析师安德烈-波罗文金(Andrey Polovinkin)说:在感染设备后,网络犯罪分子会从经纪人账户中提取资金。目前尚不清楚受害者总人数和由此造成的经济损失。

诱杀压缩文件的创建方式是包含一个图像文件和一个同名文件夹。

因此,当受害者点击图片时,文件夹中的批处理脚本就会被执行,然后用于启动下一阶段,即用于提取和启动其他文件的 SFX CAB 存档。与此同时,脚本还会加载诱饵图片,以免引起怀疑。

波罗文金告诉《黑客新闻》:CVE-2023-38831 是由于在打开 ZIP 压缩包中的文件时出现处理错误造成的。武器化的 ZIP 压缩包已在至少 8 个流行的交易论坛上传播,因此受害者的地理位置非常广泛,攻击并不针对特定的国家或行业。

目前还不知道谁是利用 WinRAR 漏洞进行攻击的幕后黑手。尽管如此,DarkMe 是一种 Visual Basic 木马,归属于 EvilNum 组织,NSFOCUS 于 2022 年 9 月首次记录到它与一个代号为 DarkCasino 的针对欧洲在线赌博和交易服务的网络钓鱼活动有关。

同样使用这种手段传播的还有一种名为 GuLoader(又名 CloudEye)的恶意软件,它随后会尝试从远程服务器获取 Remcos RAT。

Polovinkin 说:最近利用 CVE-2023-38831 的案例提醒我们,与软件漏洞相关的风险始终存在。攻击者手段资源丰富,他们总能找到新的方法来发现并利用漏洞。

参考链接:https://thehackernews.com/2023/08/winrar-security-flaw-exploited-in-zero.html

责任编辑:赵宁宁 来源: FreeBuf.COM
相关推荐

2023-11-13 09:47:53

2009-11-07 13:40:07

2014-10-08 09:25:30

2021-04-29 09:36:23

攻击漏洞Kubernetes

2011-05-16 09:19:51

2023-12-26 16:29:15

2019-08-26 00:30:48

2023-11-17 11:29:28

2023-12-26 12:09:32

2022-04-01 10:04:27

]零日漏洞漏洞勒索软件

2010-07-28 16:02:51

2019-09-04 09:08:59

2021-09-08 10:35:43

黑客零日漏洞攻击

2021-01-29 17:10:27

ChromeZinc黑客

2021-12-14 15:47:46

Log4j安全漏洞黑客

2024-04-01 13:22:43

2019-02-21 10:11:49

2010-10-08 13:08:47

2022-07-26 14:30:57

漏洞黑客网络攻击

2024-03-29 15:34:37

点赞
收藏

51CTO技术栈公众号