Falso exploit per vulnerabilità WinRAR su GitHub diffonde Venom RAT

A quanto pare, sempre più di frequente, i cybercriminali più esperti tendono a colpire quelli alle prime armi. Il caso identificato da Unit 42 di Palto Alto Networks in questi giorni, infatti, rientra nei casi di “cannibalismo” tra criminali informatici.

Stando a quanto dichiarato dai ricercatori, infatti, un malintenzionato ha pubblicato un falso exploit Proof-of-Concept (PoC) relativo a una vulnerabilità WinRAR recentemente rivelata su GitHub con l’obiettivo di infettare gli utenti con il malware Venom RAT.

Secondo Robert Falcone di Unit 42 “Il falso PoC inteso a sfruttare questa vulnerabilità WinRAR era basato su uno script PoC disponibile al pubblico che sfruttava una vulnerabilità SQL injection in un’applicazione chiamata GeoServer, che viene tracciata come CVE-2023-25157“.

Sebbene i falsi PoC non siano di certo una novità, soprattutto in attacchi verso gli esperti di sicurezza, Unit 42 sospetta che gli autori di tale minaccia abbiano il chiaro intento di prendere di mira altri criminali informatici.

Un falso exploit ideato per colpire i cybercriminali meno esperti e più incauti

whalersplonk, l’account GitHub che ospitava il repository, non è più accessibile. Si dice che il PoC sia stato eliminato il 21 agosto 2023, quattro giorni dopo l’annuncio pubblico della vulnerabilità.

L’exploit utilizzato come esca si riferisce a un problema di convalida improprio di WinRAR che potrebbe essere sfruttato per ottenere l’esecuzione di codice in modalità remota (RCE) sui sistemi Windows. Il problema è stato risolto il mese scorso con la versione 6.23 della nota applicazioni per la gestione di archivi.

Un’analisi del repository rivela uno script Python e un video che mostra come utilizzare l’exploit. Il video ha attirato 121 visualizzazioni in totale.

Lo script, invece di eseguire il PoC, raggiunge un server remoto per recuperare un eseguibile denominato Windows.Gaming.Preview.exe, che non è altro che una variante del già citato Venom RAT.

Falcone ha affermato come  “Un autore di minacce sconosciuto ha tentato di compromettere individui rilasciando un falso PoC dopo l’annuncio pubblico della vulnerabilità, per sfruttare una vulnerabilità RCE in un’applicazione ben nota“.

Lo stesso ricercatore ha poi puntualizzato come “Questo falso PoC e non sfrutta la vulnerabilità WinRAR, suggerendo che l’attore abbia cercato di sfruttare un RCE molto ricercato in WinRAR per compromettere chi ha scaricato il codice stesso“.