Cẩn thận: Khai thác giả mạo lỗ hổng WinRAR trên GitHub lây nhiễm Venom RAT cho người dùng

www.tuoitre.vn -   22/09/2023 08:00:00 950

Một người đã phát hành một khai thác bằng chứng giả mạo (PoC) cho lỗ hổng WinRAR được tiết lộ gần đây trên GitHub nhằm mục đích lây nhiễm cho những người dùng đã tải xuống mã bằng phần mềm độc hại Venom RAT.

Cẩn thận: Khai thác giả mạo lỗ hổng WinRAR trên GitHub lây nhiễm Venom RAT cho người dùng

Nhà nghiên cứu Robert Falcone của Palo Alto Networks Unit 42 cho biết: “PoC giả mạo nhằm khai thác lỗ hổng WinRAR này dựa trên tập lệnh PoC có sẵn công khai khai thác lỗ hổng SQL SQL trong một ứng dụng có tên GeoServer, được theo dõi là CVE-2023-25157”. .

Trong khi các PoC giả đã trở thành một chiêu bài được ghi chép rõ ràng để nhắm mục tiêu vào cộng đồng nghiên cứu, công ty an ninh mạng nghi ngờ rằng các tác nhân đe dọa đang nhắm mục tiêu một cách cơ hội vào những kẻ lừa đảo khác, những người có thể đang áp dụng các lỗ hổng mới nhất vào kho vũ khí của họ.

Whalersplonk, tài khoản GitHub lưu trữ kho lưu trữ, không thể truy cập được nữa. PoC được cho là đã được cam kết vào ngày 21 tháng 8 năm 2023, bốn ngày sau khi lỗ hổng được công bố công khai.

CVE-2023-40477 liên quan đến sự cố xác thực không đúng trong tiện ích WinRAR có thể bị khai thác để thực thi mã từ xa (RCE) trên hệ thống Windows. Nó đã được các nhà bảo trì giải quyết vào tháng trước trong phiên bản WinRAR 6.23, cùng với một lỗ hổng bị khai thác tích cực khác được theo dõi là CVE-2023-38831.

Phân tích kho lưu trữ cho thấy tập lệnh Python và video có thể phát trực tuyến trình bày cách sử dụng cách khai thác. Video đã thu hút tổng cộng 121 lượt xem.

Tập lệnh Python, trái ngược với việc chạy PoC, tiếp cận một máy chủ từ xa (checkblacklistwords[.]eu) để tìm nạp tệp thực thi có tên Windows.Gaming.Preview.exe, một biến thể của Venom RAT. Nó đi kèm với khả năng liệt kê các tiến trình đang chạy và nhận lệnh từ máy chủ do tác nhân điều khiển (94.156.253[.]109).

Việc kiểm tra kỹ hơn cơ sở hạ tầng tấn công cho thấy tác nhân đe dọa đã tạo miền checkblacklistwords[.]eu ít nhất 10 ngày trước khi lỗ hổng được tiết lộ công khai, sau đó nhanh chóng nắm bắt mức độ nghiêm trọng của lỗi để thu hút nạn nhân tiềm năng.

Falcone cho biết: “Một tác nhân đe dọa không xác định đã cố gắng thỏa hiệp các cá nhân bằng cách phát hành PoC giả sau khi thông báo công khai về lỗ hổng bảo mật, để khai thác lỗ hổng RCE trong một ứng dụng nổi tiếng”.

“PoC này là giả mạo và không khai thác lỗ hổng WinRAR, cho thấy kẻ tấn công đã cố gắng lợi dụng RCE được săn đón nhiều trong WinRAR để xâm phạm người khác.”

Hương – Theo TheHackerNews

TIN CÙNG CHUYÊN MỤC

Những kẻ lừa đảo đang sử dụng khuôn mặt ...

29/02/2024 08:00:00 30
Gần đây, một loại phần mềm độc hại trên điện thoại thông minh mới có tên Gold Pickaxe được thiết kế ...

Lỗ hổng SQLi nghiêm trọng trong plugin W...

28/02/2024 08:00:00 19
Một lỗ hổng bảo mật nghiêm trọng đã được tiết lộ trong một plugin WordPress phổ biến có tên Ultimate...

Lỗ hổng bảo mật mức độ nghiêm trọng cao ...

23/02/2024 08:00:00 46
Thông tin chi tiết đã xuất hiện về một lỗ hổng bảo mật mức độ nghiêm trọng cao hiện đã được vá trong...

Apple công bố giao thức PQ3 - Mã hóa hậu...

22/02/2024 08:00:00 37
Apple đã công bố một giao thức mã hóa hậu lượng tử mới có tên PQ3 mà họ cho biết sẽ được tích hợp và...

Lỗ hổng Wi-Fi mới làm cho thiết bị Andro...

21/02/2024 08:00:00 49
Các nhà nghiên cứu an ninh mạng đã xác định được hai lỗ hổng cho phép bỏ qua xác thực trong phần mềm...

Lỗ hổng nghiêm trọng trên WordPress đang...

20/02/2024 08:00:00 32
Một lỗ hổng bảo mật nghiêm trọng trong chủ đề Bricks dành cho WordPress đang bị các tác nhân đe dọa ...
Xem thêm

LIÊN HỆ

Thông tin liên hệ