- Регистрация
- 8 Янв 2019
- Сообщения
- 527
- Реакции
- 71
- Баллы
- 118
Всем привет! В одной из прошлых статей я рассказывал об уязвимости, которая существовала в архиваторе WinRAR практически 20 лет. Несмотря на то, что разработчики отказались от уязвимой библиотеки, этого оказалось недостаточно для защиты более чем полумиллиарда пользователей.
Можно только догадываться, сколько времени хакеры знали об этой дыре в безопасности и как активно использовали её в атаках. По данным специалистов, использовалась именно уязвимость WinRAR ACE для распространения вредоносного ПО, в частности — установки бэкдоров и запусков malspam-кампаний.
Уязвимость применялась в атаках MALSPAM
Эксперты из 360 Threat Intelligence зафиксировали резкий всплеск активности, связанной с этой уязвимостью, сразу после её публичного раскрытия. В своём Twitter они опубликовали соответствующие данные. После этого Bleeping Computer подключились к расследованию и изучили отчёты 360 CIT.
Согласно их выводам, метод атаки напоминал вирус Chech Point: заражённый архив, попадая в систему, автоматически разархивируется в папку автозагрузки, если отключен UAC (User Account Control). Если UAC включён — появляется ошибка при распаковке.
После распаковки вируса CMSTray.exe, вредонос немедленно прописывается в автозапуск Windows и активируется при следующей загрузке системы.
Также Bleeping Computers описали технические этапы атаки:
— Запускается wbssrc.exe, который отправляет удалённые команды
— Затем копируется CMSTray.exe в %Temp%\wbssrv.exe
— Выполняется файл wbssrv.exe, запускающий основной вредонос
После активации загружаются дополнительные вредоносные модули, что позволяет злоумышленнику получить полный контроль над системой: управление файлами, шпионаж, кража данных, удалённое выполнение команд.
Что делать?
Чтобы не стать жертвой, нужно срочно обновить WinRAR.
Можно только догадываться, сколько времени хакеры знали об этой дыре в безопасности и как активно использовали её в атаках. По данным специалистов, использовалась именно уязвимость WinRAR ACE для распространения вредоносного ПО, в частности — установки бэкдоров и запусков malspam-кампаний.
Уязвимость применялась в атаках MALSPAM
Эксперты из 360 Threat Intelligence зафиксировали резкий всплеск активности, связанной с этой уязвимостью, сразу после её публичного раскрытия. В своём Twitter они опубликовали соответствующие данные. После этого Bleeping Computer подключились к расследованию и изучили отчёты 360 CIT.
Согласно их выводам, метод атаки напоминал вирус Chech Point: заражённый архив, попадая в систему, автоматически разархивируется в папку автозагрузки, если отключен UAC (User Account Control). Если UAC включён — появляется ошибка при распаковке.
После распаковки вируса CMSTray.exe, вредонос немедленно прописывается в автозапуск Windows и активируется при следующей загрузке системы.
Также Bleeping Computers описали технические этапы атаки:
— Запускается wbssrc.exe, который отправляет удалённые команды
— Затем копируется CMSTray.exe в %Temp%\wbssrv.exe
— Выполняется файл wbssrv.exe, запускающий основной вредонос
После активации загружаются дополнительные вредоносные модули, что позволяет злоумышленнику получить полный контроль над системой: управление файлами, шпионаж, кража данных, удалённое выполнение команд.
Что делать?
Чтобы не стать жертвой, нужно срочно обновить WinRAR.
- Удалите старую версию архиватора
- Скачайте последнюю официальную версию с сайта разработчика
- Либо установите микропатч от oPatch, который закрывает конкретную уязвимость без полной переустановки программы