Cuidado: Expuesta la vulnerabilidad PoC de WinRAR
Un hacker recientemente publicado a prueba de concepto (PoC) falsa de una vulnerabilidad de vulnerabilidad de WinRARlo que constituye una revelación preocupante. El objetivo de esta malévola operación era infectar a los descargadores desprevenidos con el infame virus VenomRAT. Aunque la amenaza inmediata ha sido mitigada, este incidente pone de relieve los riesgos de aceptar simplemente PoCs obtenidos de servicios como GitHub sin suficientes pruebas de seguridad.
Descubrimiento del falso PdC
El falso exploit PoC fue descubierto por profesionales de ciberseguridad del equipo Unit 42 de Palo Alto Networks. En 21 de agosto de 2023el atacante publicó este código malicioso en GitHub. Afortunadamente, el intento fue frustrado, pero el episodio sirve como un claro recordatorio de los riesgos inherentes a los PoC no verificados.
El PoC fabricado en PoC fabricado explotaba la vulnerabilidad CVE-2023-40477que permitía la ejecución de código arbitrario al abrir archivos RAR personalizados en versiones de WinRAR anteriores a la 6.23. La Iniciativa Día Cero de Trend Micro descubrió la vulnerabilidad del software WinRAR el 8 de junio de 2023, aunque no se informó oficialmente de ella hasta el 17 de agosto de 2023. La actualización de seguridad de actualización de seguridad de WinRAR solucionó rápidamente este problema en la versión 6.23que se publicó el 2 de agosto.
Las rápidas acciones del actor de la amenaza
Una entidad que se autodenomina "whalersplonk" aprovechó la oportunidad rápidamente, disfrazando el malware como un código de explotación para el nuevo fallo de seguridad de fallo de seguridad de WinRAR. Para dar legitimidad a su paquete malicioso, el actor de la amenaza publicó un resumen en el archivo README, así como un vídeo de demostración en Streamable detallando cómo utilizar el PoC.
Por otro lado, lo que descubrió el equipo de la Unidad 42 fue preocupante. El script PoC aparentemente Python resultó ser una versión modificada de un exploit disponible públicamente disponible públicamente para otra vulnerabilidad, CVE-2023-25157. Este fallo distinto era una importante vulnerabilidad de inyección SQL que afectaba a GeoServer.
La amenaza VenomRAT
En lugar de lanzar el exploit planeado, el falso WinRAR PoC desarrolló un script por lotes. Este script, a su vez, descargaba y ejecutaba un script PowerShell codificado en el host infectado. ¿El resultado final? El malware VenomRAT entró en el sistema, desencadenando una serie de acciones maliciosas.
Cuando se ejecutaba en un dispositivo Windows, VenomRAT iniciaba un registrador de teclas. Esta aterradora pieza de software registraba cada pulsación de tecla y guardaba los datos en un archivo de texto local. A continuación, el virus se comunicaba con un servidor de mando y control (C2), donde recibía una serie de órdenes alarmantes. Estas órdenes iban desde la activación de plugins almacenados en el registro hasta la eliminación de subclaves del registro de software. El malware podía incluso calcular la duración entre pings al servidor C2.
En la capacidad de VenomRAT para desplegar más cargas útiles y robar credenciales importantesaquellos que ejecutaron el falso PoC deberían restablecer sus contraseñas en todas las cuentas y entornos.
Un engaño estratégico sobre la vulnerabilidad de WinRAR
Según el calendario establecido por la Unidad 42, el agente de la amenaza desarrolló metódicamente la infraestructura de ataque y la carga útil con bastante antelación al anuncio público del ataque. infraestructura de ataque y la carga útil mucho antes del anuncio público del WinRAR. Este enfoque deliberado implica que el mismo atacante puede, en el futuro, aprovechar la creciente atención de la comunidad de seguridad en torno a las vulnerabilidades recién reveladas para propagar otros PoC engañosos para múltiples problemas.
Un panorama de amenazas más amplio
La publicación de PoC fraudulentas en plataformas como GitHub no es un caso infrecuente. Tanto los ciberdelincuentes como los investigadores de seguridad son objetivo frecuente de los actores de amenazas. Los investigadores descubrieron descubrieron miles de repositorios de GitHub en los que se publicaban exploits PoC falsos para numerosas vulnerabilidades de día cero. vulnerabilidades de día cero a finales de 2022. Muchos de estos repositorios sospechosos estaban infectados con malware, scripts PowerShell maliciososmaliciosos de PowerShell, descargadores ocultos de ladrones de información e incluso droppers de Cobalt Strike.
Conclusión
La vigilancia es esencial en el cambiante escenario de las amenazas a la ciberseguridad. La aparición de PdC falsificados es un claro recordatorio de que la confianza no debe concederse indiscriminadamenteespecialmente en el campo de la investigación y las pruebas de ciberseguridad. Sea siempre precavido al tratar con PdC de fuentes desconocidas, y sea proactivo a la hora de establecer medidas de seguridad sólidas para proteger sus sistemas de ataques malintencionados..
Las fuentes de este artículo incluyen artículos en The Hacker News y Bleeping Computer.