Google ha detectado varias campañas de malware que usan una vulnerabilidad de WinRAR

En las últimas semanas, el Grupo de Análisis de Amenazas de Google (TAG) ha observado múltiples grupos de hackers respaldados por gobiernos explotando la conocida vulnerabilidad CVE-2023-38831 en WinRAR, una popular herramienta de archivo de Windows. Grupos de ciberdelincuentes comenzaron a explotar esta vulnerabilidad a principios de 2023, cuando aún era desconocida para los defensores. Aunque ahora existe un parche disponible, muchos usuarios aún parecen ser vulnerables. TAG ha observado que actores respaldados por gobiernos de varios países han estado explotando esta vulnerabilidad de WinRAR como parte de sus operaciones.

Protección y Recomendaciones

Para garantizar la protección, Google insta a las organizaciones y a los usuarios a mantener el software completamente actualizado y a instalar las actualizaciones de seguridad tan pronto como estén disponibles. Después de que una vulnerabilidad haya sido parcheada, los actores maliciosos continúan utilizando exploits y aprovechan las actualizaciones lentas para su ventaja. Además, se recomienda el uso de Google Safe Browsing y Gmail, que bloquean archivos que contienen el exploit.

Logo de WinRAR.

Parche y ejemplo de funcionamiento

En agosto de 2023, RARLabs lanzó una versión actualizada de WinRAR que incluía correcciones para varias vulnerabilidades de seguridad. Una de esas vulnerabilidades, posteriormente denominada CVE-2023-38831, es una vulnerabilidad lógica en WinRAR que causa una expansión temporal innecesaria de archivos al procesar archivos diseñados específicamente. Esta vulnerabilidad permite a los atacantes ejecutar código arbitrario cuando un usuario intenta ver un archivo benigno (como un archivo PNG común) dentro de un archivo ZIP.

Según un artículo de Group-IB, esta vulnerabilidad ha sido explotada desde al menos abril de 2023 por actores de ciberdelincuencia en campañas que apuntaban a operadores financieros para entregar diversas familias de malware. Horas después de la publicación del artículo, se subieron a repositorios públicos de GitHub pruebas de concepto y generadores de exploits. Poco después, TAG comenzó a observar actividades de prueba por parte de actores tanto motivados financieramente como de APT, experimentando con CVE-2023-38831.

Vulnerabilidad

La vulnerabilidad se basa en la estructura de los archivos y una peculiaridad en la forma en que WinRAR maneja los archivos con espacios en sus extensiones. Cuando un usuario hace doble clic en un archivo benigno con un espacio en la extensión desde la interfaz de usuario de WinRAR, este programa intenta determinar qué archivos deben expandirse temporalmente. Debido a la forma en que se realiza la coincidencia de nombres de archivo, si se encuentra un directorio con el mismo nombre que el archivo seleccionado, tanto el archivo seleccionado como los archivos dentro del directorio coincidente se extraen a un directorio temporal aleatorio.

Este comportamiento inesperado es lo que permite a los atacantes ejecutar código malicioso.

Campañas de Ataque

TAG ha informado de varias campañas de ataque que aprovecharon esta vulnerabilidad:

FROZENBARENTS

Este grupo se hizo pasar por una escuela ucraniana de drones y entregó un archivo ZIP malicioso que explotaba CVE-2023-38831. El archivo contenía un infostealer llamado Rhadamanthys.

FROZENLAKE

Este grupo usó un proveedor de alojamiento gratuito para servir CVE-2023-38831 y se dirigió a usuarios en Ucrania. El ataque incluía un documento de señuelo relacionado con un centro de estudios en Ucrania.

ISLANDDREAMS

Grupos respaldados por China explotaron la vulnerabilidad CVE-2023-38831 para atacar a Papua Nueva Guinea. Los correos electrónicos de phishing incluían enlaces a archivos ZIP maliciosos.

En resumen, la explotación de la vulnerabilidad CVE-2023-38831 en WinRAR ha sido aprovechada por varios grupos respaldados por gobiernos y ciberdelincuentes para llevar a cabo campañas de malware. Es fundamental que los usuarios y las organizaciones parcheen sus sistemas y se mantengan al tanto de las últimas actualizaciones de seguridad para protegerse contra estas amenazas en constante evolución.