El error Nasty WinRAR está siendo explotado activamente para instalar malware difícil de detectar
Fallo de ejecución de código de 19 años explotado a los pocos días de haber sido revelado.
Los piratas informáticos malintencionados no perdieron tiempo en explotar una desagradable vulnerabilidad de ejecución de código revelada recientemente en WinRAR , un programa de compresión de archivos de Windows con 500 millones de usuarios en todo el mundo. Los ataques en el lugar de juego instalan malware que, en el momento en que se publicó este post, no fue detectado por la gran mayoría de los productos antivirus.


La falla, revelada el mes pasado por Check Point Research, atrajo una atención masiva instantánea porque hizo posible que los atacantes instalen subrepticiamente aplicaciones maliciosas persistentes cuando un objetivo abría un archivo ZIP comprimido con cualquier versión de WinRAR lanzada en los últimos 19 años. El recorrido de la ruta absoluta hizo posible que los archivos comprimidos se extrajeran en la carpeta de inicio de Windows (o en cualquier otra carpeta que elija el creador del archivo) sin generar una advertencia. A partir de ahí, las cargas útiles maliciosas se ejecutarán automáticamente la próxima vez que se reinicie la computadora.

El jueves, un investigador de McAfee informó que la firma de seguridad identificó "100 explotaciones y conteos únicos" en la primera semana desde que se reveló la vulnerabilidad. Hasta ahora, la mayoría de los objetivos iniciales se encontraban en los Estados Unidos.

"Un ejemplo reciente se extrae de una copia pirata del exitoso álbum de Ariana Grande Thank U, Next con un nombre de archivo 'Ariana_Grande-thank_u, _next (2019) _ [320] .rar'", escribió el arquitecto de McAfee Research Craig Schmugar en la publicación. . “Cuando se usa una versión vulnerable de WinRAR para extraer el contenido de este archivo, se crea una carga maliciosa en la carpeta de inicio entre bastidores. El control de acceso del usuario (UAC) se omite, por lo que no se muestra ninguna alerta al usuario. La próxima vez que se reinicie el sistema, se ejecutará el malware ".

Las capturas de pantalla incluidas en la publicación muestran que el archivo malicioso extrae archivos MP3 benignos a la carpeta de descarga del objetivo. Bajo el capó, sin embargo, el archivo RAR también extrajo un archivo titulado "hi.exe" a la carpeta de inicio. Una vez que se reinició la computadora, instaló un troyano genérico que, de acuerdo con el servicio VirusTotal , propiedad de Google , solo lo detectaron nueve proveedores de AV. Schmugar no dijo si las 100 vulnerabilidades identificadas por McAfee instalaron el mismo malware.

Búsquedas web como esta muestran que un archivo RAR de Ariana Grande con el mismo título identificado por McAfee actualmente circula en los servicios de descarga de BitTorrent. También están siendo anunciados en Twitter . Las personas deben sospechar reflexivamente de cualquier archivo ofrecido para descargar en línea. Los usuarios de WinRAR deben asegurarse de que están utilizando la versión 5.70 . Cualquier otra versión es vulnerable a estos ataques. Otra solución es cambiar a 7zip.