![[Tool] Sử dụng AsvScan để giảm thiểu các cuộc tấn công mạng khi có IOCs](https://quantribaomat.com/uploads/images/202406/image_430x256_667e3a37b171f.webp)
CVE-2023-38831 - Lỗ hổng zero-day của WinRAR bị khai thác nhằm lấy cắp tiền từ tài khoản
Một lỗ hổng bảo mật đã được vá gần đây trong phần mềm nén WinRAR phổ biến đã bị khai thác như một zero-day từ tháng 4 năm 2023, như những phát hiện mới từ Group-IB đã tiết lộ.
Lỗ hổng này, được ghi nhận dưới mã CVE-2023-38831, cho phép các thủ phạm tạo ra các phần mở rộng tập tin giả mạo, từ đó tạo điều kiện để chạy các kịch bản độc hại chứa trong một tập tin nén, mà ngụy trang thành các tập tin hình ảnh hoặc văn bản vô hại. Vấn đề này đã được giải quyết trong phiên bản 6.23 phát hành vào ngày 2 tháng 8 năm 2023, cùng với CVE-2023-40477.
Trong các cuộc tấn công được phát hiện bởi công ty đóng tại Singapore vào tháng 7 năm 2023, các tập tin nén ZIP hoặc RAR được tạo ra đặc biệt và được phân phối thông qua các diễn đàn liên quan đến giao dịch như Forex Station đã được sử dụng để truyền tải đa dạng các họ gia đình malware như DarkMe, GuLoader và Remcos RAT.
"Andrey Polovinkin, chuyên gia phân tích malware của Group-IB, cho biết: "Sau khi xâm nhập vào các thiết bị, các tội phạm mạng rút tiền từ các tài khoản môi giới," và thêm rằng tới 130 thiết bị của các nhà giao dịch đã bị xâm phạm trong khuôn khổ chiến dịch này. Tổng số lượng nạn nhân và tổn thất tài chính do hoạt động này gây ra hiện vẫn chưa rõ ràng.
Tập tin nén bẫy này được tạo sao cho nó chứa một tập tin hình ảnh cùng một thư mục có cùng tên.
Do đó, khi nạn nhân nhấp vào hình ảnh, một tập lệnh hàng loạt hiện có trong thư mục sẽ được thực thi thay vì, từ đó sử dụng để khởi chạy giai đoạn tiếp theo, một tập tin nén SFX CAB được thiết kế để giải nén và khởi chạy các tập tin bổ sung. Đồng thời, tập lệnh cũng tải hình ảnh giả mạo để không gây sự nghi ngờ.
"CVE-2023-38831 xuất phát từ lỗi xử lý khi mở tập tin trong tập tin ZIP," Polovinkin cho biết: "Các tập tin ZIP đã bị khai thác đã được phân phối trên ít nhất 8 diễn đàn giao dịch phổ biến, do đó vị trí địa lý của nạn nhân rất rộng, và các cuộc tấn công không nhắm vào các quốc gia hoặc ngành công nghiệp cụ thể."
Hiện vẫn chưa biết ai đứng sau các cuộc tấn công sử dụng lỗ hổng của WinRAR. Tuy nhiên, DarkMe là một loại trojan Visual Basic được liên kết với nhóm EvilNum, được NSFOCUS ghi nhận lần đầu vào tháng 9 năm 2022 trong khuôn khổ chiến dịch lừa đảo có tên mã DarkCasino nhắm vào dịch vụ cờ bạc và giao dịch trực tuyến châu Âu.
Một biến thể mã độc khác được phân phối bằng phương pháp này là loại malware mang tên GuLoader (còn được gọi là CloudEye) sau đó cố gắng tải Remcos RAT từ máy chủ từ xa.
"Các trường hợp gần đây về khai thác CVE-2023-38831 làm cho chúng ta nhớ lại về những rủi ro liên quan đến lỗ hổng phần mềm liên tục," Polovinkin nói. "Các thủ phạm mạng rất sáng tạo và họ luôn tìm cách mới để phát hiện và sau đó khai thác các lỗ hổng."
Cảm xúc của bạn?
