Nem mesmo uma semana se passou desde a descoberta de uma vulnerabilidade no popular arquivador WinRAR, pois os invasores já se aproveitaram dela. O Quihoo 360 detectou a primeira campanha de malware que usa esse problema para injetar malware nos computadores dos usuários.
Lembre-se de que estamos falando de uma vulnerabilidade de passagem de diretório na biblioteca UNACEV2.DLL incluída no WinRAR, que é usada para descompactar arquivos no formato ACE. Esta vulnerabilidade fornece a capacidade de extrair arquivos de um arquivo para uma pasta que os invasores precisam, em vez de uma pasta atribuída pelo usuário. Dessa forma, eles podem colocar códigos maliciosos na pasta de inicialização do Windows, que serão executados automaticamente toda vez que o sistema inicializar.
Especialistas descobriram uma distribuição de e-mail que distribui um arquivo RAR, que, quando descompactado, instala a ferramenta Cobalt Strike Beacon no computador, que é usada por invasores para obter acesso remoto ao computador.
Como mostrou a análise realizada pelos especialistas do recurso BleepingComputer, ao descompactar, o arquivo malicioso extrai arquivos para a pasta de inicialização do Windows. Se o recurso User Account Control (UAC) estiver ativado no dispositivo, o WinRAR exibirá uma mensagem de erro, mas se o UAC estiver desativado ou o arquivador estiver sendo executado com direitos de administrador, os arquivos maliciosos serão extraídos para C:\ProgramData\Microsoft\Windows \Start Menu\Programs\Startup\CMSTray.exe e o arquivo executável CMSTray.exe serão executados na próxima inicialização do sistema.
Quando iniciado, o CMSTray.exe é copiado para a pasta %Temp%\wbssrv.exe e, em seguida, o arquivo wbssrv.exe é executado. Este último se conecta a http://138.204.171.108 e baixa vários arquivos, incluindo a ferramenta Cobalt Strike Beacon. Após o download da DLL maliciosa, os invasores poderão se conectar remotamente a um computador, executar comandos e infectar outros PCs na rede.
Na semana passada, os desenvolvedores do WinRAR lançaram uma versão corrigida do WinRAR 5.70 Beta 1, que removeu a biblioteca UNACEV2.DLL e, junto com ela, o suporte para descompactar arquivos no formato ACE. Os usuários são aconselhados a atualizar para a nova versão do WinRAR o mais rápido possível. Se por algum motivo isso não for possível, os proprietários de PC podem usar um patch de terceiros para todas as versões de 32 e 64 bits do WinRAR usando a versão UNACEV2.DLL de 2005, que mantém a capacidade de descompactar arquivos no formato ACE .