Campagna malware sfrutta nuova vulnerabilità WinRAR: di cosa si tratta?

Alcuni gruppi di hacker filo-russi hanno sfruttato una vulnerabilità di sicurezza relativa all’applicazione WinRAR.

Tale exploit è di fatto diventato parte integrante di una massiccia campagna di phishing, appositamente progettata per raccogliere quanti più possibili credenziali da sistemi compromessi.

Secondo il recente rapporto di Cluster25 “L’attacco prevede l’uso di file di archivio dannosi che sfruttano la vulnerabilità recentemente scoperta che colpisce le versioni del software di compressione WinRAR precedenti alla 6.23 e tracciata come CVE-2023-38831“.

L’archivio contiene un file PDF con codice dannoso. Se il file viene attivato, provoca l’esecuzione di uno script Windows Batch, che avvia i comandi PowerShell per aprire una shell che fornisce all’aggressore l’accesso remoto all’host preso di mira.

Viene inoltre distribuito uno script PowerShell che ruba dati dai browser Google Chrome e Microsoft Edge. Le informazioni acquisite vengono poi esfiltrate e raccolte dagli autori della campagna.

La nuova vulnerabilità WinRAR già sfruttata in passato da hacker filo-russi

CVE-2023-38831 è una vulnerabilità considerata di gravità elevata, che consente agli aggressori di eseguire codice pericoloso quando la vittima cerca di visualizzare un file innocuo all’interno di un archivio ZIP. Secondo una ricerca di Group-IB nell’agosto 2023, questo exploit è stato utilizzato già nel corso di alcuni attacchi durante aprile 2023.

In quel periodo, la vulnerabilità è stata coinvolta in alcune attività del famigerato gruppo APT29, durante operazioni legate in qualche modo al conflitto tra Russia e Ucraina.

Rispetto a questi attacchi, però, l’attuale campagna phishing risulta diversa. Ad oggi, infatti, vengono utilizzati siti WordPress compromessi per ospitare i payload, oltre ad alcune tecniche molto raffinate per quanto riguarda l’offuscamento dei file malevoli.

Secondo il Computer Emergency Response Team of Ukraine (CERT-UA), la stessa vulnerabilità è stata impegnata dal gruppo Turla, lo scorso luglio, per diffondere il malware Capibar e la backdoor Kazuar. Il tutto in operazioni di cyberspionaggio, sempre nel contesto bellico.

Per Trend Micro “Il gruppo Turla è un avversario persistente con una lunga storia di attività. Le loro origini, tattiche e obiettivi indicano tutti un’operazione ben finanziata con operatori altamente qualificati“. Gli stessi esperti hanno poi aggiunto come “Turla ha sviluppato continuamente i suoi strumenti e le sue tecniche nel corso degli anni e probabilmente continuerà a perfezionarli“.