Исследователи обнаружили распространяемый через спам RAR-файл с вредоносным загрузчиком, который устанавливается на Windows посредством эксплуатации недавно опубликованной уязвимости в архиваторе WinRAR.

Брешь проявляется при работе с ACE-файлами и позволяет распаковать их содержимое в любую папку, игнорируя указанный пользователем путь. В наличии уязвимости повинна сторонняя DLL-библиотека, давно переставшая получать обновления, поэтому разработчики WinRAR решили проблему, попросту сняв с поддержки формат ACE. К сожалению, их продукт насчитывает порядка 500 млн установок, обновить которые в сжатые сроки нереально, и злоумышленники прекрасно это знают.

Анализ вредоносного RAR-архива, проведенный в Bleeping Computer, показал, что в результате эксплуатации бреши целевой файл должен оказаться в папке автозагрузки программ для текущего пользователя. Однако при включенной службе контроля учетных записей (UAC) этого не происходит. Из-за отсутствия разрешений WinRAR выдает ошибку Access is denied («Отказ в доступе») с последующим сообщением operation failed («Сбой операции»).

Если UAC отключен или WinRAR запущен из-под аккаунта администратора, зловред будет успешно распакован в папку Startup под именем CMSTray.exe и запущен при следующем входе пользователя в систему. После активации вредоносная программа копирует себя в директорию с временными файлами как wbssrv.exe и запускает копию на исполнение.

Подключившись к командному серверу, загрузчик скачивает разные файлы, в том числе DLL-библиотеку Cobalt Strike Beacon — веб-маяк инструмента тестирования на проникновение, который злоумышленники зачастую используют для получения удаленного доступа к компьютерам жертв.

Исследователи предупреждают, что обнаруженный ими эксплойт WinRAR — лишь первая ласточка. Важно как можно скорее обновить уязвимый продукт, установив сборку WinRAR 5.70 Beta 1. Если это по каким-то причинам невозможно, Bleeping Computer рекомендует воспользоваться временным решением — микропатчем, разработанным в ACROS Security и доступным через бесплатную утилиту 0patch.

Категории: Вредоносные программы, Спам, Уязвимости