Un actor malicioso publicó un falso exploit de prueba de concepto (PoC) para una vulnerabilidad recientemente divulgada en WinRAR en GitHub, con el objetivo de infectar a los usuarios que descargaron el código con el malware Venom RAT.
"El falso PoC destinado a explotar esta vulnerabilidad de WinRAR se basó en un script de PoC públicamente disponible que aprovechaba una vulnerabilidad de inyección SQL en una aplicación llamada GeoServer, que se rastrea como CVE-2023-25157", dijo el investigador de Palo Alto Networks Unit 42, Robert Falcone.
Si bien los PoCs falsos se han convertido en una estratagema bien documentada para dirigirse a la comunidad de investigación, la firma de ciberseguridad sospechaba que los actores de amenazas están apuntando de manera oportunista a otros delincuentes que pueden estar adoptando las últimas vulnerabilidades en su arsenal.
La cuenta de GitHub que alojaba el repositorio, whalersplonk, ya no está accesible. Se dice que el PoC se envió el 21 de agosto de 2023, cuatro dÃas después de que se anunciara públicamente la vulnerabilidad.
CVE-2023-40477 se refiere a un problema de validación incorrecta en la utilidad WinRAR que podrÃa explotarse para lograr la ejecución remota de código (RCE) en sistemas Windows. Fue abordado el mes pasado por los responsables en la versión WinRAR 6.23, junto con otra vulnerabilidad explotada activamente rastreada como CVE-2023-38831.
Un análisis del repositorio revela un script de Python y un video de Streamable que muestra cómo usar el exploit. El video atrajo un total de 121 vistas.
El script de Python, en lugar de ejecutar el PoC, se comunica con un servidor remoto (checkblacklistwords[.]eu) para obtener un ejecutable llamado Windows.Gaming.Preview.exe, que es una variante de Venom RAT. Viene con capacidades para listar procesos en ejecución y recibir comandos de un servidor controlado por el actor (94.156.253[.]109).
Un examen más detenido de la infraestructura de ataque muestra que el actor de amenazas creó el dominio checkblacklistwords[.]eu al menos 10 dÃas antes de la divulgación pública de la vulnerabilidad, y luego aprovechó rápidamente la crÃtica de la falla para atraer posibles vÃctimas.
"Un actor de amenazas desconocido intentó comprometer a individuos al publicar un falso PoC después del anuncio público de la vulnerabilidad, para explotar una vulnerabilidad de RCE muy buscada en WinRAR para comprometer a otros", dijo Falcone.
¿Quieres saber más?