ESET  повідомляє про виявлення раніше невідомої уразливості в архіваторі WinRAR, яку використовувала пов’язана з росією група кіберзлочниців RomCom. Відповідно до даних телеметрії ESET, шкідливі архіви поширювалися через фішингові повідомлення, спрямовані на фінансові, виробничі, оборонні та логістичні компанії в Європі та Канаді. Метою цих атак було кібершпигунство.

«18 липня було виявлено шкідливу DLL-бібліотеку під назвою msedge.dll в архіві RAR, що містив незвичайні шляхи, які привернули увагу. Подальший аналіз показав використання зловмисниками раніше невідомої уразливості у WinRAR, включно з поточною на той час версією 7.12. Вже 24 липня ми зв’язалися з компанією-розробником WinRAR; того ж дня уразливість була виправлена в бета-версії, а повна версія була випущена через кілька днів. Ми радимо користувачам WinRAR якомога швидше встановити актуальну версію, щоб зменшити ризики», — попереджають спеціалісти ESET.

Уразливість дозволяла приховувати шкідливі файли в архіві, які непомітно розгортаються під час розпакування. Шкідливі файли поширювалися через цілеспрямовані електронні листи, а у разі успішної спроби компрометації на пристрій жертви завантажувалися різні бекдори, зокрема, SnipBot, RustyClaw та агент Mythic.

Спеціалісти ESET з високою впевненістю приписують виявлену діяльність групі RomCom на основі регіону поширення, тактик, методів та процедур, а також використаного шкідливого програмного забезпечення. RomCom є пов’язаною з росією групою, яка проводить шпигунські операції паралельно з традиційними кібератаками. Бекдор, який використовує група, здатний виконувати команди та завантажувати додаткові модулі на пристрій жертви.

Це не перший випадок, коли RomCom використовує експлойти для компрометації своїх жертв. У червні 2023 року група поширювала фішингові повідомлення, спрямовані на оборонні та урядові установи в Європі, з приманками, пов’язаними з темою Світового конгресу українців.

У зв’язку з небезпекою спеціалісти ESET рекомендують завжди використовувати актуальні версії програмного забезпечення та операційної системи, а також забезпечити багаторівневий захист корпоративної мережі з можливостями запобігання, виявлення та реагування на актуальні загрози.

Детальнішу інформацію про загрозу можна знайти за посиланням.

Ця стаття Російські хакери RomCom використали уразливість WinRAR для шпигунства раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Хакери можуть використати цю вразливість для виконання довільного коду.

Серйозна уразливість WinRAR, виявлена Zero Day Initiative, може дозволити хакерам виконати довільний код на вашому комп’ютері. Користувачам слід встановити останнє оновлення WinRAR (версія 6.23), щоб виправити цю вразливість. Зверніть увагу, що WinRAR не пропонує автоматичних оновлень, тому цей випуск необхідно встановити вручну.

Уразливість, яка ідентифікована як CVE-2023-40477, дозволяє хакерам виконувати довільний код, коли жертва відкриває шкідливий RAR-архів. Згідно з публічним попередженням Zero Day Initiative, “ця проблема є наслідком відсутності належної перевірки даних, наданих користувачем, що може призвести до доступу до пам’яті за межами виділеного буфера”. RARLAB стверджує, що вада міститься в “коді обробки томів відновлення” WinRAR, але не уточнює, в чому саме вона полягає.

Оскільки цей конкретний експлойт вимагає взаємодії з користувачем (необхідно відкрити шкідливий архів), він отримав рейтинг серйозності 7.8 за шкалою CVSS. Це не “критична” уразливість, але якщо ви з тих, хто завантажує випадкові RAR-архіви з невідомих сайтів, вам слід поставитися до неї дуже серйозно. На момент написання статті не було жодних свідчень того, що хакери використовували CVE-2023-40477 в реальному світі, хоча це може змінитися, коли вразливість стане надбанням громадськості. Для довідки, RARLAB та Zero Day Initiative лише виявили існування цієї уразливості, але не пояснили, як саме вона реалізується.

Читайте також:

Зауважимо, що WinRAR вже страждав від подібних уразливостей в минулому. Відсутність автоматичного оновлення програмного забезпечення ідеально підходить для ІТ-відділів, але для пересічних користувачів це створює певний головний біль. Хороша новина полягає в тому, що Windows 11 розробляє власну підтримку RAR, або ви можете використовувати інше стороннє програмне забезпечення для відкриття файлів .rar, наприклад, 7-Zip. Якщо ви хочете протестувати вбудовану підтримку RAR в Windows 11 вже сьогодні, ви повинні бути інсайдером Windows.

Щоб виправити цю уразливість, завантажте останню версію WinRAR або переконайтеся, що у вас встановлена версія 6.32 або новіша. Навіть якщо вас не турбує ця уразливість, оновлення WinRAR виправить попередні помилки та експлойти. Воно також може надати деякі покращення інтерфейсу користувача, якщо ви не оновлювали програму протягом декількох років.

Ця стаття WinRAR має серйозну ваду безпеки: оновіть свій ПК зараз раніше була опублікована на сайті CyberCalm, її автор — Наталя Зарудня

Хакерське угрупування StrongPity використовує шкідливі версії WinRAR і Winbox з метою встановлення шпигунського ПЗ. Шкідлива кампанія імовірно почалася в другій половині 2018 року і триває до цього дня. Про це повідомляють дослідники з підрозділу Alien Labs компанії AT&T.

За допомогою шкідливих версій програм зловмисники розповсюджують складне шпигунське ПЗ StrongPity. Воно привернуло до себе увагу експертів із безпеки ще в 2016 році в кампанії з розповсюдження підроблених версій WinRAR і TrueCrypt.

На початку липня 2019 року фахівці з Alien Labs знайшли нову шкідливу версію Winbox, яка непомітно для користувача встановлювала StrongPity на Windows-системи. Крім іншого, експерти виявили нові шкідливі версії утиліти WinRAR і менеджера завантажень Internet Download Manager (IDM).

Опинившись на системі StrongPity шукає збережені на пристрої документи і підтримує зв’язок з керуючим сервером через SSL. Шкідливе ПЗ також забезпечує віддалений доступ до пристрою жертви, повідомляють дослідники.

У попередніх кампаніях зловмисники з StrongPity використовували шкідливі версії CCleaner, Driver Booster, Opera Browser, Skype і VLC Media Player. Хоча експерти не змогли визначити, як саме в цій кампанії угруповання поширює шкідливі версії утиліт, вони вважають, що StrongPity використовують стару інфраструктуру і звичні методи доставки шкідливого ПЗ.

До речі, в плагіні Ad Inserter для WordPress, встановленому на більш ніж 200 000 сайтів, знайшли уразливість, яка дозволяє зловмисникові віддалено виконати PHP-код. Уразливість зачіпає всі web-сайти на WordPress з встановленою версією Ad Inserter 2.4.21 або нижче.

Також експерти з кібербезпеки виявили рідкісне шпигунське ПЗ, спрямоване на компрометацію даних користувачів Linux.

Стало відомо, що Facebook вбудовує приховані коди в фотографії, завантажені користувачами на сайт. Компанія може відстежувати пов’язану з ними активність і використовувати ці дані для таргетованої реклами.

Окрім цього, дослідник із безпеки Лаксман Мутія (Laxman Muthiyah) повідомив про критичну уразливість в мобільному додатку Instagram. Експлуатація уразливості дозволяла скинути пароль для всіх облікових записів Instagram і отримати повний контроль над ними.

Зверніть увагу, співробітники Служби безпеки України спільно з партнерами із США припинили діяльність потужного хакерського угруповання. Відео замаскованого центру дивіться тут.

Ця стаття Хакери атакують Windows-системи через уражені версії відомих програм раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин

Фахівці компанії Check Point повідомили про серйозну уразливість в WinRAR і продемонстрували експлуатацію проблеми.

Дослідники попереджають, що всім 500 мільйонам користувачів WinRAR може загрожувати небезпека, оскільки знайдена проблема існує приблизно 19 років.

Логічний баг, знайдений аналітиками, пов’язаний зі сторонньою бібліотекою UNACEV2.DLL, яка входить до складу практично всіх версій архіватора. Дана бібліотека не оновлювалася з 2005 року і відповідає за розпакування архівів формату ACE. З огляду на вік бібліотеки, зовсім не дивно, що дослідники Check Point виявили пов’язані з нею проблеми.

Виявилося, що можна створити спеціальний архів ACE, який при розпакуванні зможе містити шкідливий файл в довільному місці, в обхід фактичного шляху для розпакування архіву. Наприклад, таким чином дослідникам вдалося закинути malware в директорію Startup, звідки шкідник буде запускатися при кожному включенні і перезавантаженні системи.

Знайдені фахівцями проблеми (CVE-2018-20250, CVE-2018-20251, CVE-2018-20252 і CVE-2018-20253) були усунені з релізом WinRAR 5.70 Beta 1, в січні поточного року. Оскільки доступ до вихідного коду UNACEV2.DLL виявився давно втрачений, було прийнято рішення відмовитися від підтримки формату ACE зовсім.

Фахівці рекомендують користувачам якомога швидше встановити оновлення, а також проявити пильність і до встановлення патчів, не відкривати архіви ACE, отримані від невідомих джерел (наприклад, від незнайомців поштою).

У своєму звіті дослідники відзначають, що за подібні баги і експлойти компанії подібні Zerodium (тобто брокери вразливостей), готові платити великі гроші. Наприклад, Zerodium купує експлойти для вразливостей нульового дня в популярних архіваторах за 100 тисяч доларів США.

https://twitter.com/Zerodium/status/1052984615139340288

До речі, фахівці з комп’ютерної безпеки виявили систему вірусів під назвою DrainerBot, яка приховано витрачає інтернет-трафік мобільних пристроїв на Android.

Також Cybercalm писав, як максимально замаскувати Вашу присутність у Мережі та вберегтися від рекламних оголошень.

Ця стаття Знайдено уразливість WinRAR, яка загрожує півмільярду користувачів раніше була опублікована на сайті CyberCalm, її автор — Семенюк Валентин