Pesquisadores de segurança do Google dizem ter encontrado evidências de que hackers apoiados pelo Estado ligados à Rússia e à China estão explorando vulnerabilidades corrigidas no WinRAR, uma popular ferramenta de arquivamento shareware do Windows. A vulnerabilidade WinRAR, descoberta pela primeira vez no início deste ano pela empresa de segurança cibernética Group-IB e numerada CVE-2023-38831, permite que invasores ocultem scripts maliciosos em arquivos disfarçados como imagens ou documentos de texto aparentemente inócuos.

O Group-IB disse que a vulnerabilidade foi explorada como uma vulnerabilidade de dia zero em abril porque os desenvolvedores não tiveram tempo de corrigi-la antes de ser explorada, comprometendo os dispositivos de pelo menos 130 traders financeiros.

A Rarlab, que fabrica ferramentas de compressão, lançou uma versão atualizada do WinRAR (versão 6.23) em 2 de agosto para corrigir a vulnerabilidade.

Ainda assim, o Threat Analysis Group (TAG) do Google disse esta semana que seus pesquisadores observaram vários grupos de hackers apoiados pelo governo explorando a falha de segurança, observando que “muitos usuários” que não atualizaram o aplicativo ainda estavam vulneráveis. Em pesquisa compartilhada com o TechCrunch antes da publicação, a TAG disse ter observado várias campanhas explorando a vulnerabilidade de dia zero do WinRAR vinculadas a grupos de hackers patrocinados pelo Estado com ligações com a Rússia e a China.

Um dos grupos inclui uma unidade de inteligência militar russa chamada Sandworm, conhecida por ataques cibernéticos destrutivos, como o ataque de ransomware NotPetya que o grupo lançou em 2017, que atacou principalmente sistemas de computadores ucranianos e interrompeu a rede elétrica do país.

Os pesquisadores do TAG observaram o Sandworm explorando uma falha do WinRAR no início de setembro como parte de uma campanha maliciosa por e-mail que se fazia passar por uma escola de treinamento de guerra de drones ucraniana. Os e-mails contêm um link para um arquivo malicioso que explora o CVE-2023-38831, que, quando aberto, instala malware que rouba informações no computador da vítima e rouba senhas do navegador.

Separadamente, a TAG disse ter observado que outro notório grupo de hackers apoiado pela Rússia (rastreado como APT28, comumente conhecido como FancyBear) explorou ataques de dia zero do WinRAR para atingir usuários ucranianos sob o disfarce de uma campanha de e-mail que se fazia passar pelo Centro Razumkov (uma política pública). A FancyBear é mais conhecida por sua campanha de hackers e vazamentos de 2016 visando o Comitê Nacional Democrata.

As descobertas do Google seguem uma descoberta anterior da empresa de inteligência de ameaças Cluster25, que disse na semana passada também ter observado hackers russos explorando a vulnerabilidade do WinRAR em uma campanha de phishing destinada a coletar credenciais de sistemas infectados. Cluster25 disse que avaliou com “confiança baixa a moderada” que a FancyBear estava por trás da campanha.

O Google acrescentou que seus pesquisadores encontraram evidências de que o grupo de hackers APT40, apoiado pela China, que o governo dos EUA já havia vinculado ao Ministério de Segurança do Estado da China, também abusou da vulnerabilidade de dia zero do WinRAR como parte de campanhas de phishing contra usuários. Em Papua Nova Guiné. Os e-mails contêm links do Dropbox para arquivos contendo a vulnerabilidade CVE-2023-38831.

Os pesquisadores do TAG alertam que a exploração contínua das vulnerabilidades do WinRAR “destaca o quão eficazes podem ser as explorações de vulnerabilidades conhecidas”, à medida que os invasores aproveitam o ritmo lento das correções.

saber mais:

https://blog.google/threat-análise-group/government-backed-actors-exploiting-winrar-vulnerability/