Spam de malware explota la falla de WinRAR para entregar Backdoor

Los expertos descubrieron una campaña malspam que distribuye un archivo RAR malintencionado que podría explotar la falla de WinRAR para instalar y entregar malware en una computadora.

Hace unos días, los expertos en seguridad del software CheckPoint revelaron una vulnerabilidad crítica de hace 19 años en el WinRAR que podría ser explotada por los atacantes para obtener el control total sobre una computadora objetivo.

Más de 500 millones de usuarios en todo el mundo utilizan el popular software y están potencialmente afectados por la falla que afecta a todas las versiones de los últimos 19 años.

La falla es un problema de "Travesía de ruta absoluta", una biblioteca de terceros, llamada UNACEV2.DLL, que podría explotarse para ejecutar código arbitrario utilizando un archivo de archivo especialmente diseñado.

El peor aspecto de la historia es que el equipo de desarrollo de WinRAR perdió el código fuente de la biblioteca UNACEV2.dll en 2005. La manera de abordar el problema fue drástica, el equipo dejó de usar UNACEV2.dll y se lanzó. WINRar versión 5.70 beta 1 que no admite el formato ACE.

Ahora, los investigadores del 360 Threat Intelligence Center han descubierto una campaña de malspam que distribuye un archivo RAR malicioso que podría aprovechar la falla para instalar y entregar malware en una computadora.

Un atacante que aprovecha la vulnerabilidad de la ruta de acceso podría extraer los archivos comprimidos a una carpeta de su elección en lugar de la carpeta elegida por el usuario. Dejar caer un código malicioso en el inicio de Windowscarpeta se ejecutará automáticamente en el siguiente reinicio.

Los expertos del 360 Threat Intelligence Center descubrieron un correo electrónico que distribuía un archivo RAR especialmente diseñado que, al descomprimirlo, infectará el sistema con una puerta trasera.

Es el primer caso de malware distribuido que aprovecha la falla recientemente descubierta en WinRAR, el código malicioso es generado por MSF y escrito por WinRAR en la carpeta de inicio global si UAC está desactivado.

Por supuesto, si UAC se está ejecutando, el ataque falla debido a la falta de permisos para escribir en la carpeta específica, pero si el UAC está deshabilitado o WinRAR se está ejecutando con privilegios de administrador, colocará la puerta trasera en la siguiente carpeta: C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMSTray.exe.

“Ahora que CMSTray.exe se extrae a la carpeta de inicio del usuario, en el próximo inicio de sesión se iniciará el ejecutable. Una vez iniciado, copiará el archivo CMSTray.exe a% Temp% \ wbssrv.exe y ejecutará el archivo wbssrv.exe ", informó BleepingComputer.

El malware se conectará a http://138[.]204[.]171[.]108/ para descargar herramientas adicionales, incluida una DLL de Cobalt Strike Beacon que permite a los atacantes establecer una puerta trasera en el sistema infectado y usarla como un Punto de entrada en la red.

Fecha actualización el 2021-02-26. Fecha publicación el 2019-02-26. Categoría: malware Autor: Oscar olg Mapa del sitio Fuente: securityaffairs
malware