Vulnerabilitatea WinRAR exploatată pentru a cripta Windows și Linux

Gruparea Head Mare a exploatat o vulnerabilitate din WinRAR pentru a se infiltra și a cripta sistemele ce rulează pe Windows și Linux.

Vulnerabilitatea exploatată de Head Mare, identificată drept CVE-2023-38831, se află în WinRAR, un utilitar popular de arhivare a fișierelor.

Această eroare permite atacatorilor să execute cod arbitrar pe sistemul unei victime prin intermediul unor fișiere arhivă malițioase. Prin exploatarea acestei vulnerabilități, Head Mare poate distribui și ascunde mai eficient payload-uri malițioase.

La accesarea unui document aparent legitim de către un utilizator dintr-o arhiva compromisă, codul malițios este executat, acordând astfel atacatorilor acces la sistem.

Această metodă de atac este periculoasă deoarece se bazează pe interacțiunea utilizatorului, ceea ce o face mai greu de detectat prin intermediul măsurilor de securitate.

Spre deosebire de multe grupări de hackeri, Head Mare utilizează o combinație de software disponibil public și malware personalizat.

Head Mare obține accesul inițial prin campanii de phishing, distribuind arhive malițioase care exploatează vulnerabilitatea WinRAR. Odată ajunși în interior, aceștia folosesc diverse metode pentru a menține persistența, cum ar fi adăugarea de intrări în Windows registry și crearea de task-uri programate.

Infrastructura sofisticată a grupării utilizează servere VPS/VDS ca hub-uri C2. Aceste servere găzduiesc diverse utilitare folosite în diferite etape ale atacurilor lor. Acestea includ shell-uri PHP pentru executarea de comenzi și scripturi PowerShell pentru escaladarea privilegiilor.

Sursă: https://cybersecuritynews.com/hacktivist-group-exploit-winrar-vulnerability/