CVE-2023-38831 olarak izlenen bir WinRar sıfırıncı gün güvenlik açığı, bir arşivdeki zararsız dosyalara tıklandığında kötü amaçlı yazılım yüklemek için aktif olarak kullanılıyor ve bilgisayar korsanlarının çevrimiçi kripto para ticareti yapan hesapları ihlal etmesine olanak tanıyor.
Güvenlik açığı Nisan 2023’ten beri aktif olarak kullanılıyor ve DarkMe, GuLoader ve Remcos RAT gibi çeşitli kötü amaçlı yazılım türlerinin dağıtılmasına yardımcı oluyor.
WinRAR sıfırıncı gün güvenlik açığı, tehdit aktörlerinin JPG (.jpg) resimleri, metin dosyaları (.txt) veya PDF (.pdf) belgeleri gibi görünüşte zararsız dosyaları görüntüleyen kötü amaçlı .RAR ve .ZIP arşivleri oluşturmasına olanak tanıyor.
Ancak kullanıcı belgeyi açtığında, cihaza kötü amaçlı yazılım yükleyen bir komut dosyasının yürütülmesine neden oluyor.
Sıfırıncı gün açığı, 2 Ağustos 2023’te yayımlanan WinRAR 6.23 sürümünde düzeltildi; bu sürüm, özel hazırlanmış bir RAR dosyası açıldığında komut yürütülmesini tetikleyebilen bir kusur olan CVE-2023-40477 de dahil olmak üzere diğer birçok güvenlik sorununu da çözüyor.
Kripto ticareti yapanlar hedef alınıyor
Bugün yayınlanan bir raporda Group-IB’den araştırmacılar, WinRAR Zero Day açığının, bilgisayar korsanlarının kripto ticaret stratejilerini paylaşan diğer meraklılar gibi davrandıkları kripto para birimi ve hisse senedi alım satım forumlarını hedeflemek için kullanıldığını keşfettiklerini söyledi.
Bu forum gönderileri, PDF’ler, metin dosyaları ve resimlerden oluşan, paylaşılan kripto ticaret stratejisini içeriyormuş gibi görünen özel hazırlanmış WinRAR ZIP veya RAR arşivlerine bağlantılar içeriyor.
Bu arşivlerin, yatırımcıları hedef aldıkları gerçeği “Bitcoin ile ticaret yapmak için en iyi Kişisel Strateji” gibi forum gönderi başlıklarından da anlaşılıyor.
Kötü amaçlı arşivler en az sekiz halka açık kripto ticaret forumunda dağıtıldı ve 130 yatırımcının cihazına bulaştığı doğrulandı. Bu saldırılardan kaynaklanan mağduriyetin ve mali kayıpların sayısı bilinmiyor.
Arşivler açıldığında kullanıcılar, aşağıda gösterildiği gibi aynı dosya adıyla eşleşen bir klasöre sahip, PDF gibi zararsız bir dosya gibi görünen bir dosya görüyorlar.
Ancak kullanıcı PDF’ye çift tıkladığında CVE-2023-38831 güvenlik açığı, cihaza kötü amaçlı yazılım yüklemek için klasörde sessizce bir komut dosyası başlatıyor. Aynı zamanda bu scriptler şüphe uyandırmamak adına tuzak belgeyi de yüklüyor.
Güvenlik açığı, güvenli dosyalara kıyasla biraz değiştirilmiş bir yapıya sahip, özel hazırlanmış arşivler oluşturulmasıyla tetikleniyor ve bu da WinRAR’ın ShellExecute işlevinin, tuzak dosyayı açmaya çalıştığında yanlış parametre almasına neden oluyor.
Bu, programın zararsız dosyayı atlamasıyla ve bunun yerine bir toplu iş veya CMD komut dosyasını bulup çalıştırmasıyla sonuçlanıyor; böylece kullanıcı güvenli bir dosya açtığını varsayarken program farklı bir dosya çalıştırıyor.
Komut dosyası, bilgisayara DarkMe, GuLoader ve Remcos RAT enfeksiyonları gibi çeşitli kötü amaçlı yazılım türleri bulaştıran ve virüslü bir cihaza uzaktan erişim sağlayan, kendi kendine açılan (SFX) bir CAB arşivi başlatmak için yürütmek için kullanılıyor.
DarkMe kötü amaçlı yazılım türünün finansal motivasyona sahip EvilNum grubuyla ilişkilendirilmesine rağmen, yakın zamanda gözlemlenen saldırılarda CVE-2023-38831’den kimin yararlandığı belli değil.
DarkMe daha önce finansal amaçlı saldırılarda kullanılmıştı, dolayısıyla saldırganların kripto varlıklarını çalmak için kripto sahiplerini hedeflemesi mümkün görünüyor.
Remcos RAT, saldırganlara, rastgele komut yürütme, tuş günlüğü tutma, ekran yakalama, dosya yönetimi ve ters proxy yetenekleri de dahil olmak üzere virüslü cihazlar üzerinde daha güçlü bir kontrol sağlıyor, böylece casusluk operasyonlarını da kolaylaştırıyor.
Group-IB, Temmuz 2023’te CVE-2023-38831’i keşfetti ve güvenlik firması bugün bunun internet ortamda kullanılmasına ilişkin ayrıntılı bir rapor yayınladı.
WinRAR kullanıcılarının, dosya sahtekarlığı ve yakın zamanda açıklanan diğer saldırı riskini ortadan kaldırmak için, bu yazının yazıldığı sırada en son sürüm olan 6.23 sürümüne yükseltmelerini tavsiye ediyoruz.