Une vulnérabilité Zero Day de WinRar, identifiée comme CVE-2023-38831, a été activement exploitée pour installer des logiciels malveillants en cliquant sur des fichiers inoffensifs dans une archive, permettant ainsi aux pirates de pirater des comptes de trading de crypto-monnaie en ligne.
La vulnérabilité est activement exploitée depuis avril 2023, contribuant à la distribution de diverses familles de logiciels malveillants, notamment DarkMe, GuLoader et Remcos RAT.
La vulnérabilité Zero Day de WinRAR a permis aux auteurs de la menace de créer des archives .RAR et .ZIP malveillantes affichant des fichiers apparemment inoffensifs, tels que des images JPG (.jpg), des fichiers texte (.txt) ou des documents PDF (.pdf).
Cependant, lorsqu’un utilisateur ouvre le document, la faille entraîne l’exécution d’un script qui installe un logiciel malveillant sur l’appareil.
Breachtrace a testé une archive malveillante partagée par Group-IB, qui a découvert la campagne, et un simple double-clic sur un PDF a provoqué l’exécution d’un script CMD pour installer un malware.
Le jour zéro a été corrigé dans la version 6.23 de WinRAR, publiée le 2 août 2023, qui résout également plusieurs autres problèmes de sécurité, notamment CVE-2023-40477, une faille qui peut déclencher l’exécution de commandes lors de l’ouverture d’un fichier RAR spécialement conçu.
Cibler les traders de crypto
Dans un rapport publié aujourd’hui, des chercheurs du Group-IB ont déclaré avoir découvert que le zero-day WinRAR était utilisé pour cibler les forums de crypto-monnaie et de négociation d’actions, où les pirates se faisaient passer pour d’autres passionnés partageant leurs stratégies de trading.
Ces messages du forum contenaient des liens vers des archives WinRAR ZIP ou RAR spécialement conçues qui prétendaient inclure la stratégie de trading partagée, composée de fichiers PDF, de fichiers texte et d’images.
Le fait que ces archives ciblent les traders est démontré par les titres des messages du forum, comme « meilleure stratégie personnelle pour trader avec Bitcoin ».
Les archives malveillantes ont été distribuées sur au moins huit forums de trading publics, infectant un nombre confirmé de 130 appareils de traders. Le nombre de victimes et les pertes financières résultant de cette campagne sont inconnus.
Lorsque les archives sont ouvertes, les utilisateurs verront ce qui semble être un fichier inoffensif, comme un PDF, avec un dossier correspondant au même nom de fichier, comme indiqué ci-dessous.
Cependant, lorsque l’utilisateur double-clique sur le PDF, la vulnérabilité CVE-2023-38831 lancera silencieusement un script dans le dossier pour installer un logiciel malveillant sur l’appareil. Parallèlement, ces scripts chargeront également le document leurre afin de ne pas éveiller les soupçons.
La vulnérabilité est déclenchée par la création d’archives spécialement conçues avec une structure légèrement modifiée par rapport aux fichiers sécurisés, ce qui fait que la fonction ShellExecute de WinRAR reçoit un paramètre incorrect lorsqu’elle tente d’ouvrir le fichier leurre.
Cela a pour conséquence que le programme ignore le fichier inoffensif et localise et exécute à la place un script batch ou CMD. Ainsi, pendant que l’utilisateur suppose qu’il ouvre un fichier sûr, le programme en lance un autre.
Le script s’exécute pour lancer une archive CAB auto-extractible (SFX) qui infecte l’ordinateur avec diverses souches de logiciels malveillants, telles que les infections DarkMe, GuLoader et Remcos RAT, fournissant un accès à distance à un appareil infecté.
Bien que la souche du malware DarkMe ait été associée au groupe EvilNum à motivation financière, on ne sait pas clairement qui a exploité CVE-2023-38831 dans la campagne récemment observée.
DarkMe a déjà été utilisé dans des attaques à motivation financière. Il est donc possible que les attaquants ciblent les traders pour voler leurs actifs cryptographiques.
Remcos RAT donne aux attaquants un contrôle plus puissant sur les appareils infectés, y compris l’exécution de commandes arbitraires, l’enregistrement de frappe, la capture d’écran, la gestion de fichiers et les capacités de proxy inverse, ce qui pourrait également faciliter les opérations d’espionnage.
Group-IB a découvert CVE-2023-38831 en juillet 2023 et la société de sécurité a publié aujourd’hui un rapport détaillé sur son exploitation dans la nature.
Les utilisateurs de WinRAR sont invités à mettre à niveau vers la dernière version, la version 6.23 au moment d’écrire ces lignes, dès que possible pour éliminer le risque d’usurpation d’identité de fichiers et d’autres attaques récemment révélées.