Poucos dias após a divulgação de uma vulnerabilidade que afeta o WinRAR, investigadores detetaram uma campanha que é distribuída através de e-mail e que tenta explorar a falha para instalar um backdoor
Na semana passada surgiu a notícia sobre uma falha descoberta no WinRAR que afeta todas as versões. Esta falha permite que um hacker obtenha controle total sobre a máquina da vítima, aproveitando-se de arquivos de formato ACE. A novidade agora é o facto de investigadores terem detetado aquele que pode ser o primeiro exploit que se aproveita desta falha crítica, e que era distribuído através de um e-mail com um arquivo RAR como anexo.
O problema identificado no WinRAR está numa biblioteca de terceiros, chamada UNACEV2.dll, que é utilizada em todas as versões do programa utilizado para descompactar arquivos com o formato ACE. Como a empresa responsável deste conhecido programa para comprimir arquivos não tinha acesso ao código-fonte, a biblioteca não era atualizada desde 2005.
Após a descoberta desta falha na biblioteca e uma vez que não era possível repará-la, o WinRAR lançou a versão beta 5.70 do WinRAR na qual removeu toda a biblioteca e por isso deixou de dar suporte a aquivos ACE. Mas os cerca de 500 milhões de utilizadores do WinRAR que utilizam versões anteriores à 5.70 estão ainda expostos.
Investigadores da 360 Threat Intelligence Center publicaram através da sua conta do Twitter, a descoberta de um exploit que tenta instalar um backdoor no computador infetado indicando que poderia tratar-se do primeiro exploit a tentar aproveitar-se desta falha.
Depois de examinar o aquivo RAR anexo, os investigadores verificaram que o exploit tenta extrair um arquivo na pasta de início C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\. Uma vez extraído o arquivo, cujo nome é CMSTray.exe, da próxima vez que o equipamento seja iniciado executará e copiará o arquivo para %Temp%\ para de seguida executar o arquivo wbssrv.exe, explicou o BleepingComputer.
Uma vez executado, o código malicioso liga-se ao e-mail e descarrega vários arquivos, entre os quais está a ferramenta de pentesting Cobalt Strike Beacon DLL, que é também utilizada por hackers para aceder de forma remota ao equipamento infetado, de forma a executar comandos e propagar-se dentro da rede.
É importante que os utilizadores atualizem o quanto antes o WinRAR para a versão 5.70 para que fiquem protegidos contra esta e outras campanhas que possam surgir no futuro.
