Atores maliciosos usam falso exploit WinRAR para espalhar malware
Um ator malicioso divulgou um falso exploit de prova de conceito (PoC) para uma vulnerabilidade recentemente revelada no WinRAR.
O objetivo era infectar usuários que baixassem o código com o malware Venom RAT. A vulnerabilidade no WinRAR, identificada como CVE-2023-40477, está relacionada a um problema de validação inadequada que poderia ser explorado para executar código remotamente em sistemas Windows.
A conta do GitHub que hospedava o repositório, conhecida como whalersplonk, não está mais acessível. A PoC foi publicada quatro dias após o anúncio público da vulnerabilidade.
O script Python, em vez de executar a PoC, se conecta a um servidor remoto para buscar um executável chamado Windows.Gaming.Preview.exe, que é uma variante do Venom RAT.
O Venom RAT tem a capacidade de listar processos em execução e receber comandos de um servidor controlado pelo ator. O domínio checkblacklistwords[.]eu, usado pelo ator da ameaça, foi criado pelo menos 10 dias antes da divulgação pública da vulnerabilidade.
Fonte: BoletimSec
Publicado em: Cybersegurança