Un “burlone” ha rilasciato un falso proof-of-concept (PoC) exploit per una recente vulnerabilità di WinRAR su GitHub con l’obiettivo di infettare gli utenti che hanno scaricato il codice con il malware Venom RAT.
Da dove viene il falso PoC di WinRAR
“Il falso PoC creato per sfruttare questa vulnerabilità di WinRAR era basato su uno script PoC pubblicamente disponibile che sfruttava una vulnerabilità di SQL injection in un’applicazione chiamata GeoServer, identificata come CVE-2023-25157“, ha dichiarato il ricercatore di Palo Alto Networks Unit 42, Robert Falcone.
Sebbene i PoC fasulli siano diventati una tattica ben documentata per nell’ambiente della cybersecurity, l’azienda di sicurezza informatica di Palo Alto, tuttavia, sospettava che gli hacker stessero cercando opportunisticamente di colpire altri criminali che potrebbero adottare le ultime vulnerabilità nel loro arsenale.
whalersplonk, l’account GitHub che ospitava il repository, non è più accessibile, si crede che il PoC sia stato caricato il 21 agosto 2023, quattro giorni dopo che la vulnerabilità è stata resa pubblica.
CVE-2023-40477 riguarda un problema di convalida impropria nell’utility WinRAR che potrebbe essere sfruttato per ottenere l’esecuzione di codice remoto (RCE) su sistemi Windows. È stato affrontato il mese scorso dagli sviluppatori nella versione WinRAR 6.23, insieme a un’altra falla attivamente sfruttata identificata come CVE-2023-38831.
Com’è costituito a livello di codice questo proof-of-concept di WinRAR
Un’analisi del repository rivela uno script Python e un video che era in streaming su Github che dimostra come utilizzare l’exploit, il video, prima che l’account whalersplonk venisse eliminato, ha attirato un totale di 121 visualizzazioni.
Lo script Python, invece di eseguire il PoC, contatta un server remoto (checkblacklistwords[.]eu) per scaricare un eseguibile chiamato Windows.Gaming.Preview.exe, che è una variante di Venom RAT, ed ha la capacità di elencare i processi in esecuzione e ricevere comandi da un server controllato dall’autore dell’attacco (94.156.253[.]109).
Un esame più approfondito dell’infrastruttura dell’attacco mostra che l’attore minaccioso ha creato il dominio checkblacklistwords[.]eu almeno 10 giorni prima della divulgazione pubblica della falla e ha poi rapidamente sfruttato la criticità del bug per attirare potenziali vittime.
“Un malintenzionato [di origine] sconosciuta ha cercato di compromettere individui rilasciando un falso PoC dopo l’annuncio pubblico della vulnerabilità, al fine di sfruttare una vulnerabilità di RCE molto cercata in WinRAR per compromettere altri“, ha detto Falcone, aggiungendo, “Questo PoC è falso e non sfrutta la vulnerabilità WinRAR, suggerendo che l’attore abbia cercato di sfruttare un RCE molto ricercato in WinRAR per compromettere gli altri.”
Tutto gratis e tutto dovuto
Quetsa faccenda si ricollega sia all’utilizzo di applicazioni che “imitano” quelle più popolari, sia al discorso classico (che nell’informatica per “dilettanti” sembra quasi d’obbligo) del “perché pagare se posso scaricare” o dell’idea che qualunque cosa sia dietro ad uno schermo sia per forza dovuta.
WinRAR, già dai tempi di Windows XP se non prima, è probabilmente l’icona più popolare di questo fenomeno, essendo uno dei programmi più conosciuto che la gente “ama” prendere gratuitamente (almeno la versione di “valutazione”).
Infatti, gratuitamente si hanno accesso solo a determinate funzioni, ma solo la versione a pagamento completa oltre ad avere un supporto pieno, supporta anche funzioni che non esistono o sono molto limitate nella versione “evaluation”.
I criminali informatici sanno di questa smania dell’utente medio di non voler pagare, purtroppo il non spendere denaro, molto spesso si trasforma nel bucare dati sensibili o nel provocare danni ai dispositivi che difficilmente sono riparabili; è pertanto importante ricordare che la prevenzione avviene tra la sedia e la tastiera, per queste cose non ci sono antivirus (a pagamento e non) che tengano.
E ricorda che non pagare in denaro, cose che a volte costano poco (come 10€ per la versione a vita di un qualunque programma), può costare molto caro in altro modo se il prodotto è scaricato dal sito “sbagliato”.