Un pirate informatique diffuse un faux exploit de preuve de concept (PoC) pour une vulnérabilité WinRAR récemment corrigée sur GitHub, tentant d’infecter les téléchargeurs avec le malware VenomRAT.
Le faux exploit PoC a été repéré par l’équipe de chercheurs de l’unité 42 de Palo Alto Networks, qui a signalé que l’attaquant avait téléchargé le code malveillant sur GitHub le 21 août 2023.
L’attaque n’est plus active, mais elle met une fois de plus en évidence les risques liés à l’obtention de PoC auprès de GitHub et à leur exécution sans examen supplémentaire pour garantir leur sécurité.
Diffusion du PoC WinRAR
Le faux PoC concerne la vulnérabilité CVE-2023-40477, une vulnérabilité d’exécution de code arbitraire qui peut être déclenchée lorsque des fichiers RAR spécialement conçus sont ouverts sur WinRAR avant la version 6.23.
L’initiative Zero Day de Trend Micro a découvert et divulgué la vulnérabilité de WinRAR le 8 juin 2023, mais ne l’a divulguée publiquement que le 17 août 2023. WinRAR a corrigé la faille dans la version 6.23, publiée le 2 août.
Un acteur malveillant opérant sous le nom de « Whalersplonk » a agi rapidement (4 jours) pour profiter de l’opportunité en diffusant des logiciels malveillants sous couvert de code d’exploitation pour la nouvelle vulnérabilité WinRAR.
L’acteur malveillant a inclus un résumé dans le fichier README et une vidéo en streaming montrant comment utiliser le PoC, ce qui a ajouté une légitimité supplémentaire au package malveillant.
Cependant, l’unité 42 rapporte que le faux script Python PoC est en fait une modification d’un exploit accessible au public pour une autre faille, CVE-2023-25157, une faille d’injection SQL critique affectant GeoServer.
Une fois exécuté, au lieu d’exécuter l’exploit, le PoC crée un script batch qui télécharge un script PowerShell codé et l’exécute sur l’hôte.
Ce script télécharge le malware VenomRAT et crée une tâche planifiée pour l’exécuter toutes les trois minutes.
Infections VenomRAT
Une fois VenomRAT lancé sur un appareil Windows, il exécute un enregistreur de frappe qui enregistre toutes les pressions sur les touches et les écrit dans un fichier texte stocké localement.
Ensuite, le malware établit une communication avec le serveur C2, d’où il reçoit l’une des neuf commandes suivantes à exécuter sur l’appareil infecté :
- plu_gin : active un plugin stocké dans le registre.
- HVNCStop : Tue le processus « cvtres ».
- loadofflinelog : envoie les données de l’enregistreur de frappe hors ligne à partir de %APPDATA%.
- save_Plugin : enregistre un plugin dans le registre sous un ID matériel.
- runningapp : affiche les processus actifs.
- keylogsetting : met à jour le fichier journal des clés dans %APPDATA%.
- init_reg : supprime les sous-clés dans le registre des logiciels sous un ID matériel.
- Po_ng : Mesure le temps entre un PING sur le serveur C2 et la réception de cette commande.
- filterinfo : répertorie les applications installées et les processus actifs du registre.
Étant donné que le malware peut être utilisé pour déployer d’autres charges utiles et voler des informations d’identification, toute personne ayant exécuté ce faux PoC doit modifier ses mots de passe pour tous les sites et environnements sur lesquels elle possède des comptes.
La chronologie des événements partagée par Unit 42 suggère que l’acteur malveillant a préparé l’infrastructure pour l’attaque et la charge utile bien avant la divulgation publique de la faille WinRAR, puis a attendu le bon moment pour élaborer un PoC trompeur.
Cela implique que le même attaquant pourrait, à l’avenir, tirer parti de l’attention accrue de la communauté de la sécurité sur les vulnérabilités récemment révélées pour diffuser d’autres PoC trompeurs pour diverses failles.
Les faux PoC sur GitHub sont une attaque bien documentée dans laquelle les acteurs malveillants ciblent d’autres criminels et chercheurs en sécurité.
Fin 2022, les chercheurs ont découvert des milliers de référentiels GitHub promouvant des exploits PoC frauduleux pour diverses vulnérabilités, avec plusieurs déploiements de logiciels malveillants, de scripts PowerShell malveillants, de téléchargeurs de voleurs d’informations dissimulés et de compte-gouttes Cobalt Strike.
Plus récemment, en juin 2023, des attaquants se faisant passer pour des chercheurs en cybersécurité ont publié plusieurs faux exploits de type 0-day ciblant les systèmes Linux et Windows avec des logiciels malveillants.