Vulnerabilidade no WinRAR explorada por cibergrupos.

24/10/2023

 

 

A Google informou que está a descobrir cibergrupos apoiados por Estados-nação – particularmente com ligações à China e à Rússia – a explorar a vulnerabilidade no WinRAR para atacar os seus alvos

A vulnerabilidade de execução de código no WinRAR (CVE-2023-38831) foi identificada e corrigida em julho, após a deteção de uma exploração zero-day.
No entanto, passados três meses, a equipa de análise de ameaças da Google alerta que grupos APT, com alegadas ligações à China e à Rússia, estão a aproveitar com sucesso essa vulnerabilidade nas suas campanhas de ataque.

A Google informa que, horas após a divulgação da exploração, foram disponibilizadas provas de conceito e ferramentas de criação de explorações em repositórios no GitHub.
Pouco tempo depois, a equipa da Google começou a detetar atividades destinadas a testar essa vulnerabilidade, tanto por motivações financeiras quanto por parte de grupos APT (Grupos de Ameaça Persistente Avançada).

Num caso específico, a equipa de análise de threat analysis da Google identificou o Sandworm, supostamente associado à Rússia, a distribuir documentos PDF falsos e ficheiros ZIP maliciosos para explorar o bug WinRAR, capaz de recolher e exfiltrar credencias de browsers e informações de sessão de máquinas infetadas.