Finansal motivasyona sahip saldırganlar, tüccarları aracı hesaplarından para çalmalarına olanak sağlayacak kötü amaçlı yazılım yüklemeleri için kandırmak amacıyla WinRAR’daki (CVE-2023-38831) sıfır gün güvenlik açığından yararlandı.
Group-IB kötü amaçlı yazılım analisti Andrey Polovinkin, “Bu güvenlik açığı Nisan 2023’ten bu yana istismar ediliyor” diyor. Bu kampanyada en az 130 tüccarın (ve muhtemelen daha fazlasının) cihazlarına kötü amaçlı yazılım bulaştı.
CVE-2023-38831’den yararlanıldı
CVE-2023-38831, saldırganların zararsız dosyalar ve kötü amaçlı dosyalar (zararsız dosyayla aynı adı taşıyan bir klasörde bulunan komut dosyaları) içeren değiştirilmiş bir RAR veya ZIP arşivi oluşturmasına olanak tanıyan bir dosya uzantısı sahtekarlığı güvenlik açığıdır.
“Belirlediğimiz tüm arşivler aynı yöntem kullanılarak oluşturuldu. Ayrıca bunların hepsi, sahte bir dosya ile kötü amaçlı ve kullanılmayan dosyaların karışımını içeren bir klasörden oluşan benzer bir yapıya sahipti. Kullanıcı .txt, .jpg olarak görünen tuzak dosyasını açarsa. Polovinkin, “veya WinRAR’daki başka bir dosya uzantısına sahipseniz bunun yerine kötü amaçlı bir komut dosyası çalıştırılır” dedi.
Yanılsamayı tamamlamak için tuzak dosyası da açılır, ancak arka planda DarkMe, GuLoader ve/veya Remcos RAT kötü amaçlı yazılımı sessizce yüklenir ve böylece saldırganların kurbanın bilgisayarına uzaktan erişmesine olanak tanır.
Group-IB tehdit analistleri, Temmuz 2023’ün başlarında CVE-2023-38831’in DarkMe kötü amaçlı yazılımını yaymak için kullanıldığını keşfetti.
“Başlangıçta araştırmamız, bunun daha önce 2014 yılında güvenlik araştırmacısı Danor Cohen tarafından keşfedilen bir güvenlik açığının bilinen bir evrimi olduğuna inanmamıza yol açtı. Dosya uzantılarını yanıltmak için ZIP başlığını değiştirmeye yönelik bir yöntem gözlemlendi, ancak daha ileri araştırmalar bunun böyle olmadığını ortaya çıkardı.” Durum böyle,” diye belirtti Polovinkin.
Saldırı kampanyası hakkında
Tehdit aktörleri, özel çevrimiçi forumlar aracılığıyla tüccarları hedef aldı; önce onları tartışmaya soktu ve ardından sözde belirli sorunlar veya ilgi alanlarına ilişkin stratejiler veya tavsiyeler sunan belgeler sundu.
“Etkilenen forumlardan birini örnek alırsak, bazı yöneticiler forumda zararlı dosyaların paylaşıldığını fark ederek kullanıcılara uyarıda bulundu. Bu uyarıya rağmen daha fazla paylaşım yapıldı ve daha fazla kullanıcı etkilendi. Araştırmacılarımız ayrıca, tehdit aktörlerinin forum yöneticileri tarafından devre dışı bırakılan hesapların engelini kaldırarak kötü amaçlı dosyaların başlıklara yazı yazarak veya özel mesajlar göndererek yayılabileceğine dair kanıtlar da gördü” diye ekledi.
Tehdit aktörlerinin kurbanların komisyoncu hesaplarından ne kadar para çekebildiği ya da hangi siber suç grubuna dahil oldukları bilinmiyor.
Bir düzeltme mevcut
CVE-2023-38831, en son WinRAR güncellemesinde (v6.23) RARLAB tarafından yüksek önemdeki bir RCE güvenlik açığıyla (CVE-2023-40477) düzeltildi.
WinRAR kullanıcısıysanız, mümkün olan en kısa sürede bu sürüme manuel olarak güncelleyin. Tüm güvenlik açığı bilgilerinin kamuya açıklanmasıyla, diğer saldırganlar yakında orijinal istismarı kopyalamanın yollarını bulabilir veya hatta teknolojiden daha az anlayan siber dolandırıcıların bubi tuzaklı arşiv dosyaları oluşturmasına olanak tanıyan kullanımı kolay araçlar oluşturabilir.