Odnotowujemy ataki in-the-wild wykorzystujące lukę CVE-2018-20250 w WinRAR

19 marca 2019

Pod koniec lutego 2019 roku eksperci z firmy Check Point pokazali światu aż cztery różne podatności (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252, CVE-2018-20253) w oprogramowaniu WinRAR — popularnym programie do kompresji i archiwizacji danych. Opracowane przez badaczy exploity całkowicie omijały UAC. Chociaż natywne zabezpieczenia systemu Windows ostrzegają przed podnoszeniem uprawnień, to w tym przypadku luka istniejąca od 19 lat w WinRAR zmusiła deweloperów archiwizatora do całkowitego porzucenia wsparcia podatnego na atak formatu ACE, przy czym przygotowane złośliwe archiwum mogło mieć dowolne rozszerzenie (eksperci skupili się na najpopularniejszym — RAR).

CVE-2018-20250 in-the-wild

Od tego czasu w Internecie zostały opisane co najmniej dwa przypadki użycia podatności w WinRAR do ataków na użytkowników.

Pierwszą próbę wykorzystania exploita opisali pracownicy McAfee. Atakujący zamieścił w sieci kopię albumu Ariany Grande z nazwą pliku „Ariana_Grande-thank_u,_next(2019)_[320].rar”. Gdy do wyodrębnienia zawartości tego archiwum zostanie użyta podatna wersja WinRAR, to w folderze Autostart zostanie utworzony szkodliwy ładunek. Kontrola konta użytkownika (UAC) nie ma zastosowania, więc nie jest wyświetlany alert dla użytkownika. Przy następnym uruchomieniu systemu szkodliwe oprogramowanie zostanie uruchomione.

WinRAR luka CVE-2018-20250 Ariana_Grande-thank_u,_next(2019)_[320].rarWinRAR payload

SHA256 archiwum RAR: e6e5530ed748283d4f6ef3485bfbf84ae573289ad28db0815f711dc45f448bec,

SHA256 payload’u: A1C06018B4E331F95A0E33B47F0FAA5CB6A084D15FEC30772923269669F4BC91

Drugi atak opisują badacze z Qihoo 360 Threat Intelligence Center, którzy zaobserwowali plik vk_4221345.rar, czyli też archiwum WinRAR, rozprzestrzeniające ransomware, które po zaszyfrowaniu plików zmienia ich rozszerzenie na *.jnec. Koszt otrzymania dekryptora to około 200 dolarów.

 

 

vk_4221345.rar

Interesujące jest, że autor złośliwego oprogramowania wybrał nietypową metodę dostarczania kluczy do odszyfrowywania plików. Numer identyfikacyjny, który jest unikalny dla każdego komputera, reprezentuje adres poczty Gmail. Chociaż początkowo adres e-mail jest dostępny w notatce okupu, to nie jest jeszcze zarejestrowany. Ofiara musi założyć konto pocztowe o podanym adresie i skontaktować się z przestępcą. Autor ataku, aby upewnić się, że ofiary zrozumieją, w jaki sposób mogą odzyskać swoje dane, zapewnia jasne instrukcje dotyczące tworzenia konkretnego adresu pocztowego. Instrukcje są dostępne w notatce w pliku JNEC.README.TXT po zaszyfrowaniu danych.

SHA256 archiwum RAR: 551541d5a9e2418b382e331382ce1e34ddbd92f11772a5d39a4aeb36f89b315e

SHA256 ransomware: d3f74955d9a69678b0fabb4cc0e298fb0909a96ea68865871364578d99cd8025

Trzeci atak nie jest jeszcze udokumentowany techniczne. Analiza archiwum „denuncias.rar” znajduje się pod tym linkiem i dotyczy trojana bankowego!

SHA256 archiwum z trojanem: fcd460859250768d96ed254ab4aec4ab2ce542e6622d731f8f9a09eb949dd93f 

Nie pozostaje nic innego jak zaktualizować WinRAR do najnowszej wersji. Można też odinstalować oprogramowanie albo zamienić np. na PeaZIP (jest to rozwijany archiwizator plików na licencji Open Source dla Windows i Linux).

PODZIEL SIĘ:

Share on facebook
Share on twitter
Share on linkedin
Share on email
AUTOR: Adrian Ścibor
Redaktor prowadzący AVLab.pl i CheckLab.pl.
guest
1 Komentarz
Inline Feedbacks
View all comments
Jarek123
Jarek123
1 rok temu

Kiedyś się ktoś doigra. Nie dosyć że nikt nie zaopatruje się w legalną licencję to i trzyma ten niebezpieczny program na komputerze. A jest tyle darmowych podobnych aplikacji.

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone

POLECANE PRODUKTY

YUBIKEY

Klucze zabezpieczające

100% ochrony przed phishingiem

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA
BĄDŹ ZAWSZE NA BIEŻĄCO!
zapisz się

Newsletter

BĄDŹ ZAWSZE NA BIEŻĄCO!

Newsletter

ZAPISZ SIĘ NA POWIADOMIENIA E-MAIL I ZAWSZE BĄDŹ NA BIEŻĄCO!
zapisz się

POLECANE PRODUKTY

YUBICO

Klucze zabezpieczające

SILNE UWIERZYTELNIANIE DWUSKŁADNIKOWE, WIELOSKŁADNIKOWE I BEZ HASŁA

Bitdefender GravityZone Webinarium

Dowiedz się, co eksperci mówią o GravityZone