Hujumchilar WinRARdagi zaiflikdan foydalanib, orqa eshikni o’rnatadilar.
Mutaxassislar zararli dasturlarni joylashtirish uchun ushbu muammodan foydalangan birinchi zararli kampaniyani payqashdi.
Mashhur WinRAR arxivatorida zaiflik aniqlanganidan bir hafta o’tmay, tajovuzkorlar allaqachon undan foydalanishdi. Quihoo 360 tadqiqotchilari ushbu muammodan foydalanuvchilarning kompyuterlariga zararli dasturlarni kiritish uchun foydalangan birinchi zararli kampaniyani aniqladilar. Zaiflik WinRAR tarkibiga kiritilgan UNACEV2.DLL kutubxonasidagi kataloglarni aylanib o’tish zaifligiga taalluqlidir, u ACE formatidagi fayllarni ochish uchun ishlatiladi. Ushbu zaiflik tajovuzkorlarga fayllarni arxivdan foydalanuvchi tomonidan belgilangan papkaga emas, balki o’zlari tanlagan papkaga olish imkonini beradi. Bu ularga zararli kodni Windows ishga tushirish papkasiga joylashtirish imkonini beradi, keyin u har bir tizim yuklanishida avtomatik ravishda bajariladi.
Mutaxassislar RAR arxivini tarqatuvchi elektron pochta kampaniyasini aniqladilar, bu arxiv ochilganda, tajovuzkorlar tomonidan kompyuterga masofadan kirish uchun ishlatiladigan Cobalt Strike Beacon vositasini o’rnatadi.
BleepingComputer mutaxassislari tomonidan o’tkazilgan tahlil shuni ko’rsatdiki, zararli arxiv ochilganda fayllarni Windows ishga tushirish papkasiga chiqaradi. Agar qurilmada Foydalanuvchi hisobini boshqarish (UAC) yoqilgan bo’lsa, WinRAR xato xabarini ko’rsatadi. Biroq, agar UAC o’chirilgan bo’lsa yoki arxivlovchi administrator imtiyozlari bilan ishlayotgan bo’lsa, zararli fayllar C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\CMStray.exe papkasiga chiqariladi va CMSTray.exe bajariladigan fayli keyingi tizim yuklanishida bajariladi.
Ishga tushirilganda, CMSTray.exe wbssrv.exe faylini %Temp% papkasiga nusxalaydi va keyin wbssrv.exe faylini ishga tushiradi. Ikkinchisi http://138.204.171.108 ga ulanadi va Cobalt Strike Beacon vositasi kabi turli fayllarni yuklab oladi. Zararli DLL faylini yuklab olgandan so’ng, tajovuzkorlar kompyuterga masofadan ulanishi, buyruqlarni bajarishi va tarmoqdagi boshqa kompyuterlarni yuqtirishi mumkin bo’ladi.
O’tgan hafta WinRAR ishlab chiquvchilari WinRAR 5.70 Beta 1 ning yamalgan versiyasini chiqazdilar, bu versiya UNACEV2.DLL kutubxonasini olib tashlaydi va u bilan birga ACE formatidagi fayllarni ochishni qo’llab-quvvatlaydi. Foydalanuvchilarga WinRAR ning yangi versiyasini iloji boricha tezroq yangilash tavsiya etiladi. Agar biron bir sababga ko’ra buning iloji bo’lmasa, kompyuter egalari WinRAR ning barcha 32 va 64 bitli versiyalari uchun uchinchi tomon yamasidan foydalanishlari mumkin, bu esa ACE formatidagi fayllarni ochish imkoniyatini saqlab qoladi.
