Los investigadores de seguridad de Google dicen que han encontrado evidencia de que hackers respaldados por los gobiernos de Rusia y China están explotando una vulnerabilidad ya parcheada en WinRAR, la popular herramienta de archivo shareware para Windows.
La vulnerabilidad de WinRAR, descubierta por primera vez por la empresa de ciberseguridad Group-IB a principios de este año e identificada como CVE-2023-38831, permite a los atacantes ocultar scripts maliciosos en archivos que se hacen pasar por imágenes o documentos de texto aparentemente inofensivos.
Group-IB dijo que la vulnerabilidad fue explotada como un día cero (ya que el desarrollador no tuvo tiempo para corregir el error antes de que fuera explotado) en abril para comprometer los dispositivos de al menos 130 comerciantes.
Rarlab, la empresa que desarrolla la herramienta lanzó una versión actualizada de WinRAR (versión 6.23) el 2 de agosto para corregir la vulnerabilidad.
A pesar de esto, el Grupo de Análisis de Amenazas (TAG) de Google dijo esta semana que sus investigadores han observado que múltiples grupos de hackers respaldados por gobiernos están explotando la vulnerabilidad de seguridad, señalando que "muchos usuarios" que no han actualizado la aplicación siguen siendo vulnerables.
En una investigación compartida con TechCrunch antes de su publicación, TAG asegura que ha observado múltiples campañas que explotan la vulnerabilidad de día cero de WinRAR. La investigación vincula a grupos de hackers respaldados por los gobiernos de Rusia y China.
Sandworm atacando activamente
Uno de estos grupos incluye una unidad de inteligencia militar rusa llamada Sandworm, conocida por sus ciberataques destructivos, como el ataque de ransomware NotPetya que lanzó en 2017 y que afectó principalmente a los sistemas informáticos de Ucrania e interrumpió la red eléctrica del país.
Los investigadores de TAG observaron a Sandworm explotando la vulnerabilidad de WinRAR a principios de septiembre como parte de una campaña de correo electrónico malicioso que se hacía pasar por una escuela ucraniana de entrenamiento de guerra con drones. Los correos electrónicos contenían un enlace a un archivo malicioso que explotaba CVE-2023-38831, que cuando se abría instalaba malware para robar información en la máquina de la víctima y robaba contraseñas del navegador.
Por otra parte, TAG dice que observó a otro notorio grupo de hackers respaldado por Rusia, identificado como APT28 y comúnmente conocido como Fancy Bear, utilizando el día cero de WinRAR para atacar a usuarios en Ucrania bajo la apariencia de una campaña de correo electrónico haciéndose pasar por el Centro Razumkov, un tanque de pensamiento de políticas públicas en el país. Fancy Bear es mejor conocido por su operación de hackeo y filtración contra el Comité Nacional Demócrata en 2016.
Los hallazgos de Google siguen a un descubrimiento anterior de la empresa de inteligencia sobre amenazas Cluster25, que aseguró la semana pasada que también había observado a hackers rusos explotando la vulnerabilidad WinRAR como una campaña de phishing diseñada para recopilar credenciales de sistemas comprometidos. Cluster25 dijo que evaluó con “confianza baja a media” que Fancy Bear estaba detrás de la campaña.
China al ataque
Google agregó que sus investigadores encontraron evidencia de que el grupo de hackers respaldado por China, conocido como APT40, que el gobierno de Estados Unidos ha vinculado anteriormente con el Ministerio de Seguridad del Estado de China, también abusó de la vulnerabilidad de día cero de WinRAR como parte de una campaña de phishing dirigida a usuarios ubicados en en Papúa Nueva Guinea. Estos correos electrónicos incluían un enlace de Dropbox a un archivo que contenía el exploit CVE-2023-38831.
Los investigadores de TAG advierten que la explotación actual del error de WinRAR "destaca que los exploits para vulnerabilidades conocidas pueden ser muy efectivos", ya que los atacantes utilizan velocidades lentas de parcheo para su beneficio.
7-Zip vs WinRar vs WinZIP – ¿Cuál es la mejor herramienta de compresión de archivos?
Fuente: TechCrunch