Cẩn thận: Khai thác giả mạo lỗ hổng WinRAR trên GitHub lây nhiễm Venom RAT cho người dùng
Một người đã phát hành một khai thác bằng chứng giả mạo (PoC) cho lỗ hổng WinRAR được tiết lộ gần đây trên GitHub nhằm mục đích lây nhiễm cho những người dùng đã tải xuống mã bằng phần mềm độc hại Venom RAT.
Nhà nghiên cứu Robert Falcone của Palo Alto Networks Unit 42 cho biết: “PoC giả mạo nhằm khai thác lỗ hổng WinRAR này dựa trên tập lệnh PoC có sẵn công khai khai thác lỗ hổng SQL SQL trong một ứng dụng có tên GeoServer, được theo dõi là CVE-2023-25157”. .
Trong khi các PoC giả đã trở thành một chiêu bài được ghi chép rõ ràng để nhắm mục tiêu vào cộng đồng nghiên cứu, công ty an ninh mạng nghi ngờ rằng các tác nhân đe dọa đang nhắm mục tiêu một cách cơ hội vào những kẻ lừa đảo khác, những người có thể đang áp dụng các lỗ hổng mới nhất vào kho vũ khí của họ.
Whalersplonk, tài khoản GitHub lưu trữ kho lưu trữ, không thể truy cập được nữa. PoC được cho là đã được cam kết vào ngày 21 tháng 8 năm 2023, bốn ngày sau khi lỗ hổng được công bố công khai.
CVE-2023-40477 liên quan đến sự cố xác thực không đúng trong tiện ích WinRAR có thể bị khai thác để thực thi mã từ xa (RCE) trên hệ thống Windows. Nó đã được các nhà bảo trì giải quyết vào tháng trước trong phiên bản WinRAR 6.23, cùng với một lỗ hổng bị khai thác tích cực khác được theo dõi là CVE-2023-38831.
Phân tích kho lưu trữ cho thấy tập lệnh Python và video có thể phát trực tuyến trình bày cách sử dụng cách khai thác. Video đã thu hút tổng cộng 121 lượt xem.
Tập lệnh Python, trái ngược với việc chạy PoC, tiếp cận một máy chủ từ xa (checkblacklistwords[.]eu) để tìm nạp tệp thực thi có tên Windows.Gaming.Preview.exe, một biến thể của Venom RAT. Nó đi kèm với khả năng liệt kê các tiến trình đang chạy và nhận lệnh từ máy chủ do tác nhân điều khiển (94.156.253[.]109).
Việc kiểm tra kỹ hơn cơ sở hạ tầng tấn công cho thấy tác nhân đe dọa đã tạo miền checkblacklistwords[.]eu ít nhất 10 ngày trước khi lỗ hổng được tiết lộ công khai, sau đó nhanh chóng nắm bắt mức độ nghiêm trọng của lỗi để thu hút nạn nhân tiềm năng.
Falcone cho biết: “Một tác nhân đe dọa không xác định đã cố gắng thỏa hiệp các cá nhân bằng cách phát hành PoC giả sau khi thông báo công khai về lỗ hổng bảo mật, để khai thác lỗ hổng RCE trong một ứng dụng nổi tiếng”.
“PoC này là giả mạo và không khai thác lỗ hổng WinRAR, cho thấy kẻ tấn công đã cố gắng lợi dụng RCE được săn đón nhiều trong WinRAR để xâm phạm người khác.”
Hương – Theo TheHackerNews
TIN CÙNG CHUYÊN MỤC
Liệu công cụ kiểm tra nội dung AI có đán...
Công cụ AI tạo sinh được bổ sung thêm tr...
Máy tính liên tục khởi động lại vì bản c...
Lỗ hổng ChatGPT macOS có thể kích hoạt p...
Phát hiện lỗi lạ gây ra hiệu suất thiếu ...
Mozilla đối mặt với khiếu nại về quyền...
- Back to school – KASPERSKY TẶNG BẠN VOUCHER GRAB T...
- Bảo vệ toàn diện nhận ngay thêm 6 tháng miễn phí
- Hoạt động tội phạm mạng trên nền tảng Telegram tăn...
- Kaspersky: Cứ 5 người Việt Nam thì có 1 người từng...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Liệu công cụ kiểm tra nội dung AI có đáng tin khôn...
- Công cụ AI tạo sinh được bổ sung thêm trên Microso...
- Máy tính liên tục khởi động lại vì bản cập nhật Wi...
- Lỗ hổng ChatGPT macOS có thể kích hoạt phần mềm gi...
- Phát hiện lỗi lạ gây ra hiệu suất thiếu ổn định tr...
- Mozilla đối mặt với khiếu nại về quyền riêng tư ...