1 godzina temu
WinRAR, jeden z najpopularniejszych programów na świecie – używany przez ponad pół miliarda osób – miał poważną lukę bezpieczeństwa, która była i jest przez cały czas wykorzystywana do przeprowadzania ataków.
Cyberprzestępcy dostarczają do ofiar spreparowane pliki archiwów WinRAR, które na pierwszy rzut oka zawierają wiarygodne dokumenty. Z powodu luki w programie, rozpakowanie zawartości powoduje przedostanie się na komputer ofiary złośliwych plików do kluczowych folderów systemu Windows, np. folderów startowych. Tym samym po każdym włączeniu komputera te pliki uruchamiają się automatycznie, dając atakującym dostęp do urządzenia i możliwość kradzieży danych lub instalowania kolejnych programów szpiegujących — wszystko bez wiedzy użytkownika.
Lukę w programie w lipcu br. znaleźli analitycy z ESET Research. Można ją załatać instalując manualnie aktualizację ze strony producenta.
Komentarz eksperta:
Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET
W praktyce osoba, która rozpakowała złośliwe archiwum dzięki „dziurawej” wersji WinRAR’a lub innych komponentów zawierających lukę, może stracić dane logowania, dokumenty czy zdjęcia, a jej sprzęt może zostać wykorzystany do kolejnych ataków.
Aktualnie wykorzystanie tej podatności przypisuje się RomCom, rosyjskiej grupie cyberprzestępczej typu APT (Advanced Persistent Threat), specjalizującej się w atakach szpiegowskich precyzyjnie wymierzonych w wybrane osoby i organizacje z kluczowych sektorów gospodarki. RomCom najczęściej wykorzystuje spear phishing — to forma ataku, w której ofiara otrzymuje starannie przygotowaną wiadomość e-mail (najczęściej z plikami)od pozornie zaufanego nadawcy, np. firmy, instytucji czy współpracownika.
W przypadku wykorzystania WinRAR-a jako wektora ataku, złośliwe pliki mogą być spakowane np. razem z dokumentem aplikacyjnym kandydata do pracy (CV), raportem lub np. ofertą handlową. Po rozpakowaniu archiwum ukryty program trafia do wrażliwych folderów systemu Windows, w tym do tzw. folderów startowych. Dzięki temu uruchamia się automatycznie przy każdym włączeniu komputera, a napastnicy mogą uzyskać stały dostęp do urządzenia ofiary.
Aby uniknąć zagrożenia wynikającego z pobierania i rozpakowywania dokumentów przez WinRAR, należy niezwłocznie zainstalować manualnie najnowszą aktualizację pobraną z oficjalnej strony producenta.
Znajdujemy się w ogniu toczącej się za naszą wschodnią granicą wojny, a tego typu ataki ze strony wyspecjalizowanych rosyjskich grup APT stanowią jej cyfrowe oblicze. To codzienna rzeczywistość, w której cyberprzestępcy polują na pracowników różnych firm oraz zwykłych internautów. Czasami ograniczone zaufanie do niespodziewanych wiadomości może być niewystarczające — najważniejsze jest szybkie instalowanie aktualizacji, pobieranie systemu wyłącznie z oficjalnych źródeł oraz stosowanie systemu zabezpieczającego, które stanowią cyfrową zaporę przed atakami pomagając uchronić nas przed infekcją.
Źródło: ESET
