Desde que se hizo público el descubrimiento de una vulnerabilidad crítica en el software WinRAR, el pasado mes de febrero, investigadores han identificado distintos tipos de exploits que buscan aprovecharse de esta vulnerabilidad con objetivos que van desde instalar un backdoor hasta distribuir ransomware. En los últimos días hemos detectado la publicación en distintos foros de hacking de herramientas denominadas “builders” que permiten crear archivos maliciosos personalizados en formato .rar con el malware que el operador de la herramienta elija.
Como se puede apreciar en este ejemplo, los criminales la comercializan a través de distintos planes, que van desde su uso mensual por $99 o de por vida por $199.
Este builder solo necesita que el usuario elija el archivo con el ejecutable malicioso y el nombre que le dará al archivo .rar que contendrá el malware. Una vez extraído el contenido del archivo comprimido con WinRAR, el código malicioso será dropeado en la carpeta de inicio y se ejecutará una vez que el equipo se reinicie.
Sin embargo, así como están aquellos que la comercializan, también están quienes la ofrecen de manera gratuita; lo cual convierte el asunto en algo aún más peligroso. En otro foro de hacking, un usuario publicó recientemente que dado que algunos miembros comenzaron a crear “builders” que se aprovechan de la vulnerabilidad CVE-2018-20250 y los comercializan a personas que no saben cómo desarrollar un exploit para esa vulnerabilidad por sus propios medios, ha decidido crear un sitio web que permita genera un archivo RAR malicioso de manera gratuita para evitar que los novatos, denominados en inglés como “script kiddies”, obtengan dinero por crear una herramienta que permita explotar la vulnerabilidad que afecta a versiones de WinRAR anteriores a la 5.70.
En la siguiente imagen se puede apreciar cómo el sitio creado ofrece la opción de seleccionar el archivo con el ejecutable malicioso para crear un archivo RAR. Al momento de tomar capturas de pantalla del sitio se habían creado 149 archivos RAR.
Este programa para comprimir archivos es utilizado por más de 500 millones de usuarios a lo largo de todo el mundo. Por lo tanto, dado el alcance de esta popular herramienta advertimos a los usuarios que tengan cuidado con los archivos RAR que reciben y recomendamos actualizar lo antes posible a la versión 5.70 de WinRAR.