100 exploits únicos y contando’ para el último fallo de seguridad de WinRAR

Publicado el 15/03/2019

Como era de esperar, la reciente vulnerabilidad de WinRAR está siendo abusada en masa por múltiples amenazas.

Una vulnerabilidad que afecta a todas las versiones de WinRAR lanzadas en los últimos 19 años se ha convertido en el punto de partida para muchos distribuidores de malware a lo largo del último mes.

Hasta ahora se han detectado varias campañas durante las cuales grupos de cibercriminales, y posiblemente algunos hackers de estados-nación, intentaron explotar la vulnerabilidad de WinRAR para plantar malware en los dispositivos de los usuarios.

La vulnerabilidad fue revelada públicamente el 20 de febrero por investigadores de seguridad de la empresa de ciberseguridad de Israli Check Point. Un atacante puede crear archivos comprimidos con trampas explosivas que, al descomprimirlos con la aplicación WinRAR, colocarían archivos maliciosos en cualquier parte de los sistemas de los usuarios.

Check Point argumentó que los atacantes usarían esta vulnerabilidad (rastreada como CVE-2018-20250) para plantar malware en la carpeta de inicio de Windows, donde se ejecutaría automáticamente después de cada reinicio del sistema.

Su corazonada era correcta y en una semana, los grupos de hackers comenzaron a explotar la vulnerabilidad de plantar troyanos de puerta trasera en los ordenadores de los usuarios.

Posiblemente el primer malware entregado a través del correo para explotar la vulnerabilidad de WinRAR. La puerta trasera es generada por MSF y escrita en la carpeta de inicio global por WinRAR si el UAC está desactivado.

Posiblemente el primer malware entregado a través del correo para explotar la vulnerabilidad de WinRAR. La puerta trasera es generada por MSF y escrita en la carpeta de inicio global por WinRAR si el UAC está desactivado.

Las campañas de spam continuaron después de esta primera campaña, y se diversificaron para difundir diferentes cargas útiles de malware, utilizando diferentes señuelos, desde documentos técnicos hasta imágenes de adultos.

Advertencia! Las actualizaciones en la vulnerabilidad #WinRAR (#CVE-2018-20250) explotan, utilizan la ingeniería social para atraer a las víctimas con archivos de imagen incrustados y cifran el archivo ACE malicioso antes de entregarlo.

Los archivos maliciosos que intentaron explotar la falla de WinRAR también fueron enviados a las agencias gubernamentales de Corea del Sur un día antes de la segunda cumbre de Donald Trump y Kim Jong-un que tuvo lugar a finales de febrero en Vietnam.

Aunque ninguno de los investigadores de seguridad con los que habló ZDNet en ese momento confirmó la existencia de vínculos con grupos de piratas informáticos estatales norcoreanos o rusos, el calendario y los objetivos eran coherentes con las operaciones de piratería informática de los Estados nacionales, dijeron.

Pero este no fue el único evento en el que se vieron campañas de pesca submarina de temática política utilizando la hazaña de WinRAR. Había otros dos.

El primero utilizó un tema sobre una ley ucraniana para atraer a las víctimas a que descifraran un archivo malicioso que explotaba el fallo de WinRAR.

La muestra de la vulnerabilidad #WinRAR (#CVE-2018-20250) parece dirigida a #Ucrania con un documento PDF relacionado con la ley ucraniana incrustado. Descarga mssconf.bat para descargar y ejecutar scripts adicionales de PowerShell.

Y luego hubo una segunda campaña que utilizó un señuelo sobre las Naciones Unidas y los derechos humanos para atraer a los usuarios de Oriente Medio.

La muestra de explotación de WinRAR (#CVE-2018-20250) (united nations.rar) parece estar dirigida a Oriente Medio. Incorpora documentos de cebo relacionados con los derechos humanos de las Naciones Unidas y el #UN en árabe, y finalmente descarga y ejecuta #Revenge RAT.

Ambos son ataques muy selectivos y, muy probablemente, el trabajo de los servicios de inteligencia que se dedican al ciberespionaje.

Pero aunque parece que los estados-nación se han subido al tren de explotación de WinRAR, esto no significa que las bandas regulares de ciberdelincuentes hayan dejado de utilizar la misma vulnerabilidad para distribuir malware mundano.

En un informe publicado ayer, la empresa de ciberseguridad estadounidense McAfee describió la última de estas campañas, una de ellas utilizando un señuelo de Ariana Grande para engañar a los usuarios a fin de que abran archivos con trampas explosivas que instalan malware en sus sistemas.

En total, los expertos de McAfee afirman que han visto «100 exploits y conteo únicos» que utilizaban la vulnerabilidad WinRAR para infectar a los usuarios.

En el gran esquema de las cosas, estos ataques están destinados a continuar porque WinRAR es una superficie de ataque ideal – la aplicación tiene más de 500 millones de usuarios (según su proveedor), la mayoría de los cuales probablemente están ejecutando una versión obsoleta que puede ser explotada.

WinRAR devs lanzó WinRAR 5.70 Beta 1 el 28 de enero para tratar esta vulnerabilidad, sin embargo, los usuarios tienen que visitar manualmente el sitio de WinRAR, descargarlo y luego instalarlo. Es muy probable que la gran mayoría de los usuarios no sean conscientes de que esta vulnerabilidad existe, y mucho menos de que necesitan instalar una actualización de seguridad crítica.