La semana pasada compartimos la noticia sobre el hallazgo de una vulnerabilidad crítica en WinRAR que afecta a todas las versiones y que permite a un atacante obtener control total de la máquina de la víctima al aprovecharse de archivos en formato ACE. Esta semana, la noticia es que investigadores detectaron lo que podría ser el primer exploit que busca aprovecharse de este fallo crítico, el cual era distribuido a través de un correo que incluía un archivo RAR como adjunto.
El problema identificado en WinRAR radica en una librería de terceras partes, llamada UNACEV2.DLL, que se utiliza en todas las versiones del programa y que se utiliza para desempaquetar archivos en formato ACE. Como la compañía responsable de este conocido programa para comprimir archivos no tenía acceso al código fuente, la librería no se actualizaba desde 2005.
A partir del hallazgo de este fallo en la librería y dado que no era posible repararlo, WinRAR lanzó la versión beta 5.70 de WinRAR en la que removió la librería y por lo tanto dejó de dar soporte a los archivos ACE. Pero los aproximadamente 500 millones de usuarios que WinRAR tiene y que utilizan versiones anteriores a la 5.70 aún están expuestos.
En el día de ayer, investigadores de 360 Threat Intelligence Center publicaron a través de su cuenta de Twitter el hallazgo de un exploit que intenta implantar un backdoor en la computadora infectada indicando que podría tratarse del primer exploit que busca aprovecharse de este fallo.
Possibly the first malware delivered through mail to exploit WinRAR vulnerability. The backdoor is generated by MSF and written to the global startup folder by WinRAR if UAC is turned off.https://t.co/bK0ngP2nIy
IOC:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D— 360 Threat Intelligence Center (@360TIC) 25 de febrero de 2019
Luego de examinar el archivo RAR adjunto, corroboraron que el exploit intenta extraer un archivo en la carpeta de inicio C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\. Una vez extraído el archivo, cuyo nombre es CMSTray.exe, la próxima vez que se inicie el equipo se ejecutará y copiará el archivo a %Temp%\ para luego ejecutar el archivo wbssrv.exe, explicó BleepingComputer.
Una vez ejecutado, el código malicioso se conectará a una dirección desde la cual descargará varios archivos, entre los cuales está la herramienta de pentesting Cobalt Strike Beacon DLL, la cual también es utilizada por los cibercriminales para acceder de manera remota a un equipo infectado. De esta manera, los cibercriminales serán capaces de acceder de manera remota al equipo infectado para ejecutar comandos y propagarse dentro de la red.
Habiendo visto esto, es importante que los usuarios actualicen lo antes posible a la versión 5.70 de WinRAR para estar protegido de esta campaña, así como también de otras campañas que intenten aprovecharse de este fallo en el futuro.