Google Chrome ve Microsoft Edge tarayıcılarından kimlik bilgilerini çalan bir Powershell betiği kullanarak yakın zamanda bulunan WinRAR güvenlik açığı CVE-2023-38831’den yararlanmak için kötü amaçlı arşiv dosyalarını kullanan yeni bir kimlik avı saldırısı keşfedildi.
Arşiv, SmokeLoader, Nanocore RAT, Crimson RAT ve AgentTesla gibi farklı kötü amaçlı yazılımlarla ilişkili alan adlarını ve karmaları içeren Tehlike Göstergelerinin (IOC’ler) listesini gösteren bir PDF belgesinden oluşur.
WinRAR güvenlik açığı nedeniyle tehdit aktörleri etkilenen sistemde ters kabuk oluşturabilir ve PowerShell komut dosyalarını çalıştırabilir.
Yapay Zeka Destekli E-posta güvenlik çözümlerini uygulamak “Trustifi”, işletmenizi E-posta İzleme, Engelleme, Değiştirme, Kimlik Avı, Hesabın Devralınması, İş E-postasının Tehlikeye Atılması, Kötü Amaçlı Yazılım ve Fidye Yazılımı gibi günümüzün en tehlikeli e-posta tehditlerine karşı koruyabilir
Ücretsiz demo
Teknik Analiz – CVE-2023-38831
CVE-2023-38831, WinRAR 6.23’te sıradan bir dosyanın (JPG dosyası) ve ayrıca ZIP arşivinin içine gömülen dosyayla aynı adı taşıyan bir klasörün eklenmesiyle yararlanılabilen rastgele bir kod yürütme güvenlik açığıydı.
Klasör yürütülebilir içerikten oluşuyorsa, WinRAR yalnızca sıradan dosyaya erişmeye çalıştığında işlenir.
WinRAR’daki bu güvenlik açığının Nisan ve Ağustos 2023 arasında vahşi ortamda yürütüldüğü bildirildi.
Ancak WinRAR bu güvenlik açığını gidermek için yamalar yayınladı. Bu güvenlik açığından mevcut kimlik avı kampanyasında yararlanıldı.
CVE-2023-38831’den Yararlanma
Tehdit aktörleri, IOC_09_11.rar adlı dosyayı, Tehlike Göstergeleri içerebilecek bir dosya gibi göstermek için kullandı. Bu RAR dosyası bir klasör ve “IOC_09_11.pdf” isimli bir dosyadan oluşmaktadır. Klasör “IOC_09_11.pdf” dosyasından oluşur.[.]cmd, ”bir BAT betiği.
Güvenlik açığı nedeniyle, PDF dosyasını açarken BAT betiği, %TEMP% dizinindeki RAR dosyası içeriğini çıkaran klasörden yürütülür. Komut dosyası çıkarıldıktan sonra klasörden silinir ve kurbanın görüntülemesi için PDF dosyası açılır.
Üç Kötü Amaçlı Powershell komutu
Kurban PDF içeriğini görüntülemeye başladığında, komut dosyası üç PowerShell komutunu başlatarak amaçlanan çalışmasına devam etmeye başlar. İlk komut %LOCALAPPDATA%\Temp klasöründe bir Özel RSA Anahtarı oluşturur, ikincisi kurban makineye ters bir kabuk açar ve üçüncüsü Base64 kodlu bir dizeyi çalıştırır.
Ayrıca komut dosyası, Google Chrome ve Microsoft Edge tarayıcılarından Giriş kimlik bilgilerini çalıyor ve bu bilgiler daha sonra benzersiz bir URL kullanarak yasal Webhook.Site hizmetini kullanarak tehdit aktörüne gönderiliyor.
Ayrıca Cluster25 tarafından kaynak kodu, PowerShell komutları ve diğer bilgiler hakkında ayrıntılı bilgi sağlayan eksiksiz bir rapor yayınlandı.
Uzlaşma Göstergeleri
| KATEGORİ | TİP | DEĞER |
| YÜK | SHA256 | 072afea7cae714b44c24c16308da0ef0e5aab36b7a601b310d12f8b925f359e7 |
| YÜK | SHA1 | 9e630c9879e62dc801ac01af926fbc6d372c8416 |
| YÜK | MD5 | 89939a43c56fe4ce28936ee76a71ccb0 |
| YÜK | SHA256 | 91dec1160f3185cec4cb70fee0037ce3a62497e830330e9ddc2898f45682f63a |
| YÜK | SHA1 | bd44774417ba5342d30a610303cde6c2f6a54f64 |
| YÜK | MD5 | 9af76e61525fe6c89fe929ac5792ab62 |
| AĞ | IPv4 | 216[.]66[.]35[.]145 |
| AĞ | URL’si | http://webhook[.]site/e2831741-d8c8-4971-9464-e52d34f9d611 |
850’den fazla üçüncü taraf uygulamaya hızlı bir şekilde yama uygulamak için Patch Manager Plus’ı kullanarak kendinizi güvenlik açıklarından koruyun. Avantajlardan yararlanın ücretsiz deneme % 100 güvenlik sağlamak için.