Unos días después de parchear la vulnerabilidad, aparecieron en línea detalles sobre una vulnerabilidad Zero Day WinRAR que fue atacada. Los investigadores notaron una explotación activa de la vulnerabilidad por parte de los comerciantes objetivo. Aunque el parche ya llegó, muchos dispositivos aún necesitan la atención de los usuarios para recibir actualizaciones.
WinRAR Zero-Day explotado en la naturaleza
Los investigadores del Grupo IB han compartido un artículo detallado sobre una vulnerabilidad de día cero en WinRAR. Teniendo en cuenta la enorme base de usuarios de WinRAR, el día cero representó una seria amenaza para los usuarios, ya que fue atacado antes de que llegara el parche.
Específicamente, la vulnerabilidad CVE-2023-38831 afectó el procesamiento del formato ZIP, lo que permitió al adversario falsificar el archivo ejecutable malicioso como un archivo .jpg o .txt en el archivo. Sin embargo, para explotar con éxito esta falla, un atacante tenía que engañar al usuario víctima para que interactuara con el archivo infectado.
Como se explicó, los investigadores descubrieron que la vulnerabilidad fue aprovechada para difundir el malware DarkMe. Algunos casos también mostraron la propagación de otros programas maliciosos, como GuLoader (CloudEye) y Remcos RAT. Sin embargo, sí vieron un patrón particular entre las víctimas, en su mayoría comerciantes.
Los actores malintencionados aprovechan esta vulnerabilidad para crear archivos maliciosos que cargan en foros comerciales populares. Para atraer a las víctimas, los autores de la amenaza presentan llamativos archivos de texto para captar la atención de los ávidos especialistas en marketing.
Al hacer clic en el archivo comprimido malicioso se ejecutaría la carga útil incorporada en el dispositivo objetivo, lo que permitiría a los atacantes retirar dinero de las cuentas de los corredores de las víctimas.
Tras este descubrimiento, los investigadores informaron del problema a los desarrolladores de WinRAR, quienes solucionaron el fallo. Lanzaron la solución con la versión 6.23 de WinRAR a principios de este mes.
Sin embargo, en ese momento, el aviso oficial de RARLAB no proporcionó ningún detalle sobre esta falla específica, solo mencionó la solución y destacó otra ejecución remota de código de gravedad crítica reportada anteriormente. Pero en el aviso actualizado, también confirmaron la actualización del parche de día cero CVE-2023-38831.
Dado que este día cero ya está bajo ataque, los usuarios deben apresurarse a actualizar sus sistemas a la última versión de WinRAR para evitar la amenaza.
Háganos saber su opinión en los comentarios.
