WinRAR Vulnerability Affects Traders Worldwide
2023/08/23 InfoSecurity — トレーダーの専門フォーラムを標的とするサイバー犯罪者たちが、WinRAR 圧縮ツールのゼロデイ脆弱性 CVE-2023-38831 を悪用していると、サイバー・セキュリティ研究者が警告を発している。この脆弱性の悪用に成功した攻撃者は、悪意のあるペイロードを取り込んだ ZIP アーカイブを作成し、トレーダーの金融資産に重大なリスクをもたらすという。Group-IB の Threat Intelligence Unit は、2023年7月に DarkMe マルウェア配布について調査した際に、WinRAR の ZIP ファイル・フォーマットの処理に、未知の脆弱性があることを見した。
8月23日の未明に、Group-IB の Malware Analyst である Andrey Polovinkin が発表したアドバイザリによると、2023年4月以降においてサイバー犯罪者たちは、この脆弱性 CVE-2023-38831 を悪用することで、DarkMe/GuLoader/Remcos RAT などのマルウェア・ファミリーを取り込んだ ZIP アーカイブを作成しているという。
この脆弱性を発見した Group-IB は、WinRAR の開発元である RARLAB に通知し、両社の協力によりし、パッチが迅速にリリースされた。そして、2023年8月15日に、MITRE は CVE-2023-38831 を割り当てた。
この悪用の手口は、ユーザーを騙して無害に見えるファイルを開かせ、悪意のスクリプトを起動させるというものだ。サイバー犯罪者は、ファイル拡張子を偽装することで、イメージやテキストを装うファイルの中に、悪意のコードを隠している。Group-IBの説明によると、これらの悪意のアーカイブが各種の取引フォーラムに投稿され、報告時点で少なくとも 130台のデバイスが感染したとのことだ。
このマルウェア感染を成功させた脅威アクターは、被害者の証券口座に不正にアクセスし、資金を引き出すことが可能になる。この脆弱性により発生した金銭的損失については、現在も調査中である。注目すべきは、以前に NSFOCUS の研究者たちが報告した DarkCasino キャンペーンでも、同じ脆弱性が悪用されていたことだ。
Group-IB はユーザーに対して、ソフトウェアを常に最新の状態に保ち、未知のソースから送信された添付ファイルの扱いに注意を払い、パスワード・マネージャーの使用や2要素認証 (2FA) の有効化などの、強固なセキュリティ対策を実施するよう呼びかけている。
つい先日の 2023/08/18 にも、「WinRAR の脆弱性 CVE-2023-40477 が FIX:RAR アーカイブを開くことでコマンド実行が可能に」という記事がありました。その時の脆弱性は、2023年8月2日にリリースされた WinRAR 6.23 で対処されたとのことですが、新たな脆弱性 CVE-2023-38831 が発見されたようです。よろしければ、WinRAR で検索も、ご利用ください。
IoT OT Security News 
You must be logged in to post a comment.