Các nhà nghiên cứu bảo mật mới đây đã phát hiện một chiến dịch phát tán mã độc thông qua email, nhắm mục tiêu vào lỗ hổng bảo mật tồn tại 19 năm qua trong hầu hết các phiên bản phần mềm WinRAR.
|
[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc khai thác lỗ hổng qua WinRAR - CyberSec365.org |
Tuần trước, các nhà nghiên cứu bảo mật thuộc hãng bảo mật đã phát đi
cảnh báo về lỗ hổng bảo mật tồn tại trong tất cả các phiên bản WinRAR trong 19 năm qua. Lỗ hổng này có thể cho phép kẻ tấn công trích xuất cái tập tin thực thi tuỳ ý vào máy của người dùng Windows. Lỗ hổng này được cho là ảnh hưởng đến khoảng hơn 500 triệu người dùng trên toàn thế giới.
Mới đây, hãng bảo mật 360 Threat Intelligence Center đã đăng tải trên Twitter cho biết họ đã phát hiện một chiến dịch phát tán mã độc qua email nhằm khai thác lỗ hổng bảo mật này.
|
[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc khai thác lỗ hổng qua WinRAR - CyberSec365.org |
Khi tiến hành tải xuống và phân tích tập tin này dưới dạng HEX, các nhà nghiên cứu phát hiện tập tin RAR này sẽ âm thầm giải nén một tập tin vào thư mục Startup trên máy nạn nhân.
|
[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc khai thác lỗ hổng qua WinRAR - CyberSec365.org |
Nếu máy nạn nhân đang mở UAC, phần mềm sẽ không thể giải nén tập tin mã độc vào thư mục
C:\ProgramData. Ngay sau đó, WinRAR sẽ hiễn thị thông báo cho biết "
Truy cập bị từ chối" và "
Giải nén không thành công" như hình:
|
[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc khai thác lỗ hổng qua WinRAR - CyberSec365.org |
Tuy nhiên, nếu UAC không được kích hoạt, WinRAR sẽ tiến hành trích xuất mã độc có tên "
CMSTray.exe" vào thư mục
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\Startup\ |
[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc khai thác lỗ hổng qua WinRAR - CyberSec365.org |
Khi đó, mỗi lần người dùng khởi động lại máy, mã độc CMSTray.exe sẽ được tự động khởi chạy, copy chính bản thân nó vào thư mục
%Temp% và đổi tên thành
wbssrv.exe để tiếp tục chạy.
|
[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc khai thác lỗ hổng qua WinRAR - CyberSec365.org |
Sau khi khởi chạy, mã độc này sẽ kết nối về địa chỉ http://138.204.171.108/ và tải xuống nhiều ttập tin khác nhau, bao gồm cả DLL Cobalt Strike Beacon. Cobalt Strike Beacon là một công cụ kiểm tra xâm nhập cũng được tin tặc sử dụng để truy cập từ xa vào máy tính của nạn nhân.
|
[Cảnh Báo] Phát hiện chiến dịch phát tán mã độc khai thác lỗ hổng qua WinRAR - CyberSec365.org |
Khi tập tin DLL này được tải về, tin tặc có thể truy cập từ xa vào máy tính của nạn nhân, thực thi các mã lệnh tuỳ ý và phát tán ra các máy khác trong hệ thống mạng LAN.
Hiện tại, các nhà nghiên cứu bảo mật khuyến cáo người dùng nên lập tức sử dụng bản
WinRAR micropatch của 0Patch để vá lỗ hổng trên WinRAR. Bản MicroPatch này sẽ khắc phục lỗ hổng trên cả phiên bản 32 và 64 bit của Winrar.
Nguồn: Bleeping Computer
Không có nhận xét nào