Pratite nas preko RSS-aSajber-kriminalci koriste novu staru ranjivost u WinRaru za infekciju Windows računara
Vesti, 28.02.2019, 00:00 AM
Istraživači 360 Threat Intelligence Centra otkrili su spam kampanju koja distribuira maliciozni RAR fajl i koja bi mogla biti prva koja koristi novootkrivenu ACE ranjivost u WinRAR-u za instaliranje malvera na računarima žrtava.
Prošle nedelje, Checkpoint je objavio detalje o 19 godina staroj ranjivost u biblioteci WinRAR-a UNACEV2.DLL koja omogućava specijalno napravljenoj ACE arhivi da ekstrahuje fajl u Windows Startup folderu. Ovo omogućava izvršnom fajlu da se automatski pokreće kada se Windows ponovo pokrene.
Kako programeri WinRAR-a više nemaju pristup izvornom kodu navedene biblioteke UNACEV2.DLL, oni nisu mogli da isprave grešku, pa su uklonili podršku za DLL i ACE iz najnovije verzije WinRAR-a 5.70 beta 1. Iako je ovim ispravljena greška, takođe je uklonjena podrška za ACE format iz WinRAR-a.
Nažalost, to nije od pomoći za oko 500 miliona korisnika koji su instalirali WinRAR na svojim računarima i to je ono na šta računaju autori malvera.
Istraživači 360 Threat Intelligence Centra su na Twitteru objavili da su otkrili emailove putem kojih se distribuira RAR arhiva koja će, kada je ekstrahovana, zaraziti računar backdoorom.
Ako se UAC pokrene kada pokušate da ekstrahujete arhivu, malver neće uspeti da se smesti u folder C:ProgramData jer nema dozvola za to. To će dovesti do toga da WinRAR prikaže poruci o grešci u kojoj se kaže “Pristup je odbijen” ili “operacija nije uspela”.
Ako je UAC onemogućen ili WinRAR pokrenut sa administratorskim privilegijama malver će se instalirati u C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupCMSTray.exe.
Sada kada je CMSTray.exe ekstrahovan u Startup folderu, prilikom sledećeg prijavljivanja će se pokrenuti izvršni fajl. Kada se pokrene, CMSTray.exe se kopira u %Temp%wbssrv.exe i fajl wbssrv.exe će biti pokrenut.
Kada se pokrene, malver će se povezati na http://138.204.171.108/ i preuzeti različite fajlove, uključujući Cobalt Strike Beacon DLL. Cobalt Strike Beacon je alat za penetraciono testiranje koji koriste i sajber-kriminalci takođe za dobijanje daljinskog pristupa kompjuteru.
Kada se DLL učita, napadači će moći da daljinski pristupe vašem računaru, izvršavaju komande i šire se na druge računare na vašoj mreži.
Budući da se očekuje da će i drugi malveri pokušati da iskoriste ovu ranjivost, važno je da preuzmete najnoviju verziju WinRAR-a.
Ako iz nekog razloga ne možete da nadogradite WinRAR, onda možete iskoristiti WinRAR micropatch 0Patcha za ovu WinRAR ranjivost. Ova će popraviti ranjivost u svim 32-bitnim i 64-bitnim verzijama WinRAR-a koje koriste UNACEV2.DLL od 2005. godine.
Izdvojeno
Android botneti Kimwolf i Aisuru ostali bez komandnih servera
Istraživači iz Black Lotus Labs, odeljenja za analizu pretnji kompanije Lumen Technologies, uspeli su da ugase veliki deo infrastrukture botneta Kim... Dalje
Google objavio hitno upozorenje o privatnosti za 1,5 milijardi korisnika Google Photos
Google je izdao upozorenje za oko 1,5 milijardi korisnika Google Photos servisa, nakon optužbi da kompanija koristi fotografije korisnika za obučava... Dalje
Hakeri koriste novi trik za krađu Facebook naloga
Tokom poslednjih šest meseci, sajber kriminalci sve intenzivnije koriste tzv. „browser-in-the-browser“ (BitB) tehniku kako bi prevarili k... Dalje
Dve Chrome ekstenzije krale razgovore korisnika sa ChatGPT-om i DeepSeek-om
Bezbednosni istraživači iz kompanije OX Security otkrili su dve zlonamerne ekstenzije u Chrome Web Store-u koje su korišćene za krađu razgovora k... Dalje
Srećni praznici!
Dragi čitaoci, želimo vam dobro zdravlje i srećnu i uspešnu 2026. godinu. Tokom praznika sajt neće biti ažuriran. Sa redovnim sadržajem nastavl... Dalje
Pratite nas
Nagrade
Prijatelji
