WinRAR 一项漏洞可让用户点击无害档案时遭安装恶意程序,至少 4 月已经被用来攻击加密货币投资人从帐号内窃取财物。
安全厂商Group-IB 7月侦测到,WinRAR一个之前未知的漏洞遭黑客滥用,用以散布DarkMe等恶意程序。 这个编号CVE-2023-38831的漏洞位于ZIP档案的处理过程,攻击者可以制作恶意. ZIP或.RAR压缩文件,当中包含无害文件(例如.jpg、. txt或PDF文件等)及恶意执行文件,并以无害文件名为文件夹命名。 当用户点击并试图解压缩看似合法的档案时,即被安装恶意程序。
Group-IB研究,已有DarkMe、GuLoader、Remcos RAT等恶意程式经由恶意.ZIP挟带散布,并以加密货币交易者为攻击目标。 至少在今年4月间,该漏洞已被滥用制作恶意压缩文件在加密货币交易平台论坛上散布,以感染受害者装置,以DarkMe为例,攻击者旨在从加密货币投资人交易帐号窃取财物。 截至本周,研究人员发现还有130台交易者的装置感染该恶意程序。
Bleeping Computer报导,DarkMe过去和以金钱为目的的EvilNum组织有关,但不确定该群人是否也策划了此次攻击。
WinRAR维护单位RARLab在接获安全厂商通报后,已在7月20日发布WinRAR 6.23版本解决本漏洞。 安全厂商建议有用户应升级到最新版本。
这是WinRAR近日揭露的第二项漏洞。 上周Zero Day Initiative(ZDI)也揭露高风险漏洞CVE-2023-40477,可让远程攻击者传送恶意RAR文件,受害者一旦开启档案,即可在其电脑上执行任意程序。 两项漏洞都是在WinRAR 6.23版修补完成。
