Um cibercriminoso está espalhando uma falsa exploração de prova de conceito (PoC) para uma vulnerabilidade WinRAR corrigida recentemente no GitHub. O Hacker tenta infectar downloaders WinRAR com o malware VenomRAT.
A falsa exploração do PoC foi detectada pela equipe de pesquisadores da Unidade 42 da Palo Alto Networks, que relatou que o invasor carregou o código malicioso no GitHub em 21 de agosto de 2023. O ataque não está mais ativo, mas mais uma vez destaca os riscos de obter PoCs do GitHub e executá-los sem escrutínio adicional para garantir que estejam seguros.
Divulgando a falsa exploração de prova de conceito WinRAR para distribuição de malware
A PoC falsa é para a vulnerabilidade CVE-2023-40477, uma vulnerabilidade de execução de código arbitrário que pode ser acionada quando arquivos RAR especialmente criados são abertos no WinRAR antes da versão 6.23. A Zero Day Initiative da Trend Micro descobriu e divulgou a vulnerabilidade do WinRAR em 8 de junho de 2023, mas não a divulgou publicamente até 17 de agosto de 2023. O WinRAR corrigiu a falha na versão 6.23, lançada em 2 de agosto.
Um agente de ameaça operando sob o nome “whalersplonk” agiu rapidamente (4 dias) para aproveitar a oportunidade, espalhando malware sob o disfarce de código de exploração para a nova vulnerabilidade WinRAR. O ator da ameaça incluiu um resumo no arquivo README e um vídeo Streamable demonstrando como usar o PoC, o que adicionou ainda mais legitimidade ao pacote malicioso.
No entanto, a Unidade 42 relata que o falso script Python PoC é na verdade uma modificação de uma exploração disponível publicamente para outra falha, CVE-2023-25157 , uma falha crítica de injeção de SQL que afeta o GeoServer.
Quando executado, em vez de executar o exploit, a PoC cria um script em lote que baixa um script PowerShell codificado e o executa no host. Esse script baixa o malware VenomRAT e cria uma tarefa agendada para executá-lo a cada três minutos.
Infecções por VenomRAT
Depois que o VenomRAT é iniciado em um dispositivo Windows, ele executa um keylogger que registra todas as teclas pressionadas e as grava em um arquivo de texto armazenado localmente. Em seguida, o malware estabelece comunicação com o servidor C2, de onde recebe um dos nove comandos a seguir para execução no dispositivo infectado:
- plu_gin: ativa um plugin armazenado no registro.
- HVNCStop: mata o processo “cvtres”.
- loadofflinelog: Envia dados do key logger offline de %APPDATA%.
- save_Plugin: salva um plugin no registro sob um ID de hardware.
- runningapp: exibe processos ativos.
- keylogsetting: atualiza o arquivo de log de chaves em% APPDATA%.
- init_reg: Exclui subchaves no registro de software sob um ID de hardware.
- Po_ng: Mede o tempo entre um PING para o servidor C2 e o recebimento deste comando.
- filterinfo: lista aplicativos instalados e processos ativos do registro.
Como o malware pode ser usado para implantar outras cargas e roubar credenciais, qualquer pessoa que executou essa PoC falsa deve alterar suas senhas de todos os sites e ambientes em que possuem contas.
A linha do tempo de eventos compartilhada pela Unidade 42 sugere que o ator da ameaça preparou a infraestrutura para o ataque e a carga útil muito antes da divulgação pública da falha do WinRAR e então aguardou o momento certo para criar um PoC enganoso.
Isto implica que o mesmo invasor poderá, no futuro, aproveitar a atenção redobrada da comunidade de segurança sobre vulnerabilidades recentemente reveladas para disseminar outras PoCs enganosas para diversas falhas.
PoCs falsas no GitHub são um ataque bem documentado em que os agentes de ameaças têm como alvo outros criminosos e pesquisadores de segurança.