文件压缩软件WinRAR一项漏洞可让用户点击无害文件时遭安装恶意程序,至少4月已经被用来攻击加密货币投资人从账号内窃取财物。
安全厂商Group-IB 7月侦测到,WinRAR一个之前未知的漏洞遭黑客滥用,用以传播DarkMe等恶意程序。这个编号CVE-2023-38831的漏洞位于ZIP文件的处理过程,攻击者可以制作恶意.ZIP或.RAR压缩文件,其中包含无害文件(例如.jpg、.txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。当用户点击并试图解压缩看似合法的文件时,即被安装恶意程序。
Group-IB研究,已有DarkMe、GuLoader、Remcos RAT等恶意程序经由恶意.ZIP挟带传播,并以加密货币交易者为攻击目标。至少在今年4月间,该漏洞已被滥用制作恶意压缩文件在加密货币交易平台论坛上传播,以感染受害者设备,以DarkMe为例,攻击者旨在从加密货币投资人交易账号窃取财物。截至本周,研究人员发现还有130台交易者的设倍感染该恶意程序。
Bleeping Computer报道,DarkMe过去和以金钱为目的的EvilNum组织有关,但不确定该群人是否也策划了此次攻击。
WinRAR维护单位RARLab在接获安全厂商通报后,已在7月20日发布WinRAR 6.23版本解决本漏洞。安全厂商建议有用户应升级到最新版本。
这是WinRAR近日披露的第二项漏洞。上周Zero Day Initiative(ZDI)也披露高风险漏洞CVE-2023-40477,可让远程攻击者发送恶意RAR文件,受害者一旦打开文件,即可在其计算机上执行任意程序。两项漏洞都是在WinRAR 6.23版修补完成。
