Злоумышленник выпустил поддельный эксплойт proof-of-concept (PoC) для недавно раскрытой уязвимости WinRAR на GitHub с целью заразить пользователей, которые загрузили код вредоносной программой Venom RAT.
"Поддельный PoC, предназначенный для использования этой уязвимости WinRAR, был основан на общедоступном PoC-скрипте, который использовал уязвимость SQL-инъекции в приложении под названием GeoServer, которое отслеживается как CVE-2023-25157", - сказал исследователь подразделения 42 Palo Alto Networks Роберт Фальконе.
В то время как поддельные POCs стали хорошо документированным уловкой для нацеливания на исследовательское сообщество, фирма по кибербезопасности подозревала, что участники угрозы оппортунистически нацелены на других мошенников, которые, возможно, используют новейшие уязвимости в своем арсенале.
whalersplonk, учетная запись GitHub, на которой размещался репозиторий, больше не доступна. Говорят, что PoC был совершен 21 августа 2023 года, через четыре дня после публичного объявления об уязвимости.
Уязвимость CVE-2023-40477 связана с неправильной проверкой вопрос в программе WinRAR утилита, которая может быть использована для достижения удаленное выполнение кода (RCE) в системах Windows. В прошлом месяце разработчики исправили ее в версии WinRAR 6.23, наряду с другим активно используемым недостатком, отслеживаемым как CVE-2023-38831.
Анализ репозитория выявил скрипт на Python и потоковое видео, демонстрирующее, как использовать эксплойт. Всего видео набрало 121 просмотр.
Скрипт Python, в отличие от запуска PoC, обращается к удаленному серверу (checkblacklistwords[.]eu) для получения исполняемого файла с именем Windows.Азартные игры.Preview.exe, который является вариантом Venom RAT. Он поставляется с возможностями составления списка запущенных процессов и получения команд от сервера, контролируемого участником (94.156.253[.]109).
Более тщательное изучение инфраструктуры атаки показывает, что исполнитель угрозы создал домен checkblacklistwords[.]eu по крайней мере за 10 дней до публичного раскрытия уязвимости, а затем быстро воспользовался критичностью ошибки, чтобы привлечь потенциальных жертв.
"Неизвестный участник угрозы пытался скомпрометировать пользователей, выпустив поддельный PoC после публичного объявления об уязвимости, чтобы использовать уязвимость RCE в хорошо известном приложении", - сказал Фальконе.
"Этот PoC является поддельным и не использует уязвимость WinRAR, предполагая, что злоумышленник пытался воспользоваться очень популярным RCE в WinRAR, чтобы скомпрометировать других".
"Поддельный PoC, предназначенный для использования этой уязвимости WinRAR, был основан на общедоступном PoC-скрипте, который использовал уязвимость SQL-инъекции в приложении под названием GeoServer, которое отслеживается как CVE-2023-25157", - сказал исследователь подразделения 42 Palo Alto Networks Роберт Фальконе.
В то время как поддельные POCs стали хорошо документированным уловкой для нацеливания на исследовательское сообщество, фирма по кибербезопасности подозревала, что участники угрозы оппортунистически нацелены на других мошенников, которые, возможно, используют новейшие уязвимости в своем арсенале.
whalersplonk, учетная запись GitHub, на которой размещался репозиторий, больше не доступна. Говорят, что PoC был совершен 21 августа 2023 года, через четыре дня после публичного объявления об уязвимости.
Уязвимость CVE-2023-40477 связана с неправильной проверкой вопрос в программе WinRAR утилита, которая может быть использована для достижения удаленное выполнение кода (RCE) в системах Windows. В прошлом месяце разработчики исправили ее в версии WinRAR 6.23, наряду с другим активно используемым недостатком, отслеживаемым как CVE-2023-38831.
Анализ репозитория выявил скрипт на Python и потоковое видео, демонстрирующее, как использовать эксплойт. Всего видео набрало 121 просмотр.
Скрипт Python, в отличие от запуска PoC, обращается к удаленному серверу (checkblacklistwords[.]eu) для получения исполняемого файла с именем Windows.Азартные игры.Preview.exe, который является вариантом Venom RAT. Он поставляется с возможностями составления списка запущенных процессов и получения команд от сервера, контролируемого участником (94.156.253[.]109).
Более тщательное изучение инфраструктуры атаки показывает, что исполнитель угрозы создал домен checkblacklistwords[.]eu по крайней мере за 10 дней до публичного раскрытия уязвимости, а затем быстро воспользовался критичностью ошибки, чтобы привлечь потенциальных жертв.
"Неизвестный участник угрозы пытался скомпрометировать пользователей, выпустив поддельный PoC после публичного объявления об уязвимости, чтобы использовать уязвимость RCE в хорошо известном приложении", - сказал Фальконе.
"Этот PoC является поддельным и не использует уязвимость WinRAR, предполагая, что злоумышленник пытался воспользоваться очень популярным RCE в WinRAR, чтобы скомпрометировать других".
