Pericolo in vista: archivi autoestraenti WinRAR possono eseguire script PowerShell

I file SFX (Self-extracting archives) sono degli archivi autoestraenti ovvero elementi contenenti uno o più file compressi che possono essere estratti senza l’utilizzo di un software di decompressione dati.
L’archivio SFX è di fatto un eseguibile che avvia sul sistema un programma che si occupa di decomprimere i file e salvarli nel percorso indicato dall’utente senza che questi debba aver installato un’utilità “ad hoc”.
Archivi autoestraenti possono essere creati utilizzando diversi programmi di compressione dati come 7-Zip, WinRAR e altri ancora.

I ricercatori di CrowdStrike, in collaborazione con i colleghi di altre società specializzate nella sicurezza informatica, hanno scoperto che i criminali informatici stanno abusando di una caratteristica propria di WinRAR per eseguire codice malevolo sul sistema degli utenti a partire da un archivio SFX.

È vero che quando l’utente fa doppio clic su un eseguibile malevolo, come può essere anche un archivio autoestraente, il danno può essere già fatto. Nel caso di specie, tuttavia, pur aprendo il file autoscompattante con i privilegi utente normali, gli aggressori possono comunque riuscire ad acquisire i diritti più ampi.

WinRAR consente infatti di aggiungere riferimenti ad altre applicazioni da richiamare all’apertura dell’archivio: ecco quindi che diventa possibile eseguire anche script PowerShell nocivi senza mostrare alcun avviso all’utente.

Non solo. Windows integra un meccanismo chiamato IFEO (Image File Execution Options) che permette agli sviluppatori di attivare strumenti di debugging sul sistema locale ed eseguire un’applicazione al posto di un’altra. Il fatto è che questo meccanismo viene spesso utilizzato per eseguire codice arbitrario all’avvio del sistema beneficiando dei privilegi SYSTEM. Può essere utilizzato, tra l’altro, anche per finalità legittime ad esempio in caso di password Windows dimenticata.

CrowdStrike spiega che i file SFX vengono usati come “trampolino” per attivare codice dannoso all’avvio di Windows e sottrarsi alla scansione degli antimalware tradizionali.

I ricercatori consigliano agli utenti di prestare particolare attenzione agli archivi SFX e di utilizzare un software appropriato per controllare il contenuto dell’archivio prima di aprirlo. Nello specifico, è importante cercare la presenza di eventuali script o comandi impostati per essere eseguiti automaticamente al momento dell’estrazione dei dati.
Un buon suggerimento potrebbe essere quello di installare 7-Zip aggiornato all’ultima versione, fare clic sul file autoestraente con il tasto destro del mouse quindi scegliere 7-Zip, Apri dal menu contestuale. In questo modo l’eseguibile non viene subito avviato ed è possibile verificare attentamente il contenuto dell’archivio SFX.