Pratite nas preko RSS-aSajber-kriminalci koriste novu staru ranjivost u WinRaru za infekciju Windows računara
Vesti, 28.02.2019, 00:00 AM
Istraživači 360 Threat Intelligence Centra otkrili su spam kampanju koja distribuira maliciozni RAR fajl i koja bi mogla biti prva koja koristi novootkrivenu ACE ranjivost u WinRAR-u za instaliranje malvera na računarima žrtava.
Prošle nedelje, Checkpoint je objavio detalje o 19 godina staroj ranjivost u biblioteci WinRAR-a UNACEV2.DLL koja omogućava specijalno napravljenoj ACE arhivi da ekstrahuje fajl u Windows Startup folderu. Ovo omogućava izvršnom fajlu da se automatski pokreće kada se Windows ponovo pokrene.
Kako programeri WinRAR-a više nemaju pristup izvornom kodu navedene biblioteke UNACEV2.DLL, oni nisu mogli da isprave grešku, pa su uklonili podršku za DLL i ACE iz najnovije verzije WinRAR-a 5.70 beta 1. Iako je ovim ispravljena greška, takođe je uklonjena podrška za ACE format iz WinRAR-a.
Nažalost, to nije od pomoći za oko 500 miliona korisnika koji su instalirali WinRAR na svojim računarima i to je ono na šta računaju autori malvera.
Istraživači 360 Threat Intelligence Centra su na Twitteru objavili da su otkrili emailove putem kojih se distribuira RAR arhiva koja će, kada je ekstrahovana, zaraziti računar backdoorom.
Ako se UAC pokrene kada pokušate da ekstrahujete arhivu, malver neće uspeti da se smesti u folder C:ProgramData jer nema dozvola za to. To će dovesti do toga da WinRAR prikaže poruci o grešci u kojoj se kaže “Pristup je odbijen” ili “operacija nije uspela”.
Ako je UAC onemogućen ili WinRAR pokrenut sa administratorskim privilegijama malver će se instalirati u C:ProgramDataMicrosoftWindowsStart MenuProgramsStartupCMSTray.exe.
Sada kada je CMSTray.exe ekstrahovan u Startup folderu, prilikom sledećeg prijavljivanja će se pokrenuti izvršni fajl. Kada se pokrene, CMSTray.exe se kopira u %Temp%wbssrv.exe i fajl wbssrv.exe će biti pokrenut.
Kada se pokrene, malver će se povezati na http://138.204.171.108/ i preuzeti različite fajlove, uključujući Cobalt Strike Beacon DLL. Cobalt Strike Beacon je alat za penetraciono testiranje koji koriste i sajber-kriminalci takođe za dobijanje daljinskog pristupa kompjuteru.
Kada se DLL učita, napadači će moći da daljinski pristupe vašem računaru, izvršavaju komande i šire se na druge računare na vašoj mreži.
Budući da se očekuje da će i drugi malveri pokušati da iskoriste ovu ranjivost, važno je da preuzmete najnoviju verziju WinRAR-a.
Ako iz nekog razloga ne možete da nadogradite WinRAR, onda možete iskoristiti WinRAR micropatch 0Patcha za ovu WinRAR ranjivost. Ova će popraviti ranjivost u svim 32-bitnim i 64-bitnim verzijama WinRAR-a koje koriste UNACEV2.DLL od 2005. godine.
Izdvojeno
Discord će sve korisnike tretirati kao maloletne dok ne prođu proces verifikacije uzrasta
Platforma Discord najavila je novu bezbednosnu politiku prema kojoj će svi korisnici, podrazumevano, biti tretirani kao tinejdžeri dok ne prođu pro... Dalje
AgreeToSteal: otkriven prvi zlonamerni Outlook dodatak koji je ukrao više od 4.000 kredencijala
Istraživači bezbednosti otkrili su prvi poznati zlonamerni dodatak za Microsoft Outlook koji je distribuiran preko Microsoftove prodavnice. Incident... Dalje
ChatGPT karikature postaju viralne, ali po cenu privatnosti
Trend karikatura generisanih veštačkom inteligencijom prerastao je u pravi fenomen na društvenim mrežama. Korisnici masovno otvaraju omiljene AI a... Dalje
Procureli podaci korisnika AI hakerske platforme WormGPT
Podaci korisnika WormGPT-a pojavili su se na jednom popularnom forumu. Autor objave tvrdi da je početkom meseca dobio podatke o oko 19.000 korisnika ... Dalje
Flickr upozorava na bezbednosni incident: otkrivene imejl i IP adrese korisnika
Platforma za deljenje fotografija Flickr obavestila je korisnike o mogućem bezbednosnom incidentu nakon što je ranjivost kod jednog eksternog provaj... Dalje
Pratite nas
Nagrade
Prijatelji
