Quelques jours après avoir corrigé la vulnérabilité, des détails ont fait surface en ligne à propos d'une vulnérabilité zero-day de WinRAR qui a fait l'objet d'une attaque. Les chercheurs ont remarqué une exploitation active de la vulnérabilité pour cibler les commerçants. Bien que le correctif soit déjà arrivé, de nombreux appareils ont encore besoin de l'attention des utilisateurs pour recevoir les mises à jour.
WinRAR Zero-Day exploité dans la nature
Des chercheurs du Group-IB ont partagé un article détaillé sur une vulnérabilité de type “zero-day” dans WinRAR. Compte tenu de l'énorme base d'utilisateurs de WinRAR, cette faille a constitué une grave menace pour les utilisateurs, car elle a été attaquée avant que le correctif n'arrive.
Plus précisément, la vulnérabilité, CVE-2023-38831, a eu un impact sur le traitement du format ZIP, permettant à l'adversaire d'usurper le fichier exécutable malveillant en tant que fichier .jpg ou .txt à l'intérieur de l'archive. Cependant, pour réussir à exploiter la faille, l'attaquant devait inciter l'utilisateur victime à interagir avec le fichier infecté.
Comme cela a été élaboré, les chercheurs ont constaté que la vulnérabilité était exploitée pour diffuser le Logiciel malveillant DarkMe. Certains cas ont également montré la diffusion d'autres logiciels malveillants, tels que GuLoader (CloudEye) et Remcos RAT. Cependant, ils ont remarqué un schéma spécifique pour les victimes, principalement des commerçants.
Les acteurs de la menace exploitent la vulnérabilité pour créer des archives malveillantes qu'ils téléchargent sur des forums de négociation populaires. Pour attirer les victimes, les acteurs de la menace accompagnent les fichiers de textes accrocheurs afin d'attirer l'attention des traders avides.
En cliquant sur le fichier zippé malveillant, la charge utile intégrée était exécutée sur l'appareil cible, ce qui permettait aux attaquants de retirer de l'argent des comptes de courtiers des victimes.
Suite à cette découverte, les chercheurs ont signalé le problème aux développeurs de WinRAR, qui ont corrigé la faille. Ils ont publié le correctif avec la version 6.23 de WinRAR au début du mois.
Cependant, à l'époque, l'avis officiel de RARLAB ne donnait aucun détail sur cette faille spécifique, se contentant de mentionner le correctif et de mettre en évidence une autre gravité critique d'exécution de code à distance signalée plus tôt. Mais dans l'avis mis à jour, ils ont également confirmé avoir corrigé la faille zero-day CVE-2023-38831.
Étant donné que ce zero-day fait déjà l'objet d'une attaque, les utilisateurs doivent se dépêcher de mettre à jour leurs systèmes avec la dernière version de WinRAR pour éviter la menace.
Fais-nous part de tes réflexions dans les commentaires.
