A hírhedt WinRAR-sebezhetőségre ráálltak a hackerek

Mit tesz lehetővé ez a régi hiba?

A sérülékenység egy útvonalbejárási (path traversal) hiba, amely az Alternate Data Streams (ADS) lehetőségét kihasználva képes tetszőleges helyre rosszindulatú fájlokat írni. Így a hackerek akár a Windows Startup mappába is bejuttathatják a kártevőt, így a fertőzés minden újraindítás után is aktív marad.
A támadók tipikusan egy ártalmatlannak tűnő PDF vagy más dokumentum mögé rejtik a kártékony kódot az archívumban, miközben a valódi támadás az ADS-en át történik. Ha a felhasználó kicsomagolja az archívumot, a WinRAR kinyeri a rejtett kódot, gyakran LNK, HTA, BAT vagy CMD fájlok formájában, amelyek automatikusan elindulnak a következő bejelentkezéskor.

Kiemelt állami és bűnözői támadók

A Google kiberbiztonsági kutatói szerint az ukrán katonai egységeket és a civil szférát célzó ismert állami hackercsoportok – például a RomCom/CIGAR, FROZENBARENTS, CARPATHIAN, SUMMIT –, valamint Kínához köthető támadók is rutinszerűen élnek ezzel a sebezhetőséggel. Ezek a csoportok olyan ismert kártevőket terjesztenek, mint a NESTPACKER (Snipbot), a POISONIVY vagy a STOCKSTAY.
Anyagi haszonszerzésre törekvő támadók pedig egyszerű adatlopó eszközöket, Telegram-botokkal vezérelhető hátsó ajtókat és a Chrome böngészőhöz készült banki adathalász kiterjesztéseket próbálnak ráerőltetni az áldozatokra.

Kész megoldást árulnak a sötét weben

Ezek a csoportok kész, professzionális exploitokat vásárolnak, például a zeroplayer néven ismert szereplőtől, aki a WinRAR-hiba mellett olyan nulladik napi támadásokat is árult, mint a Microsoft Office sandboxának kijátszása vagy vállalati VPN-ek feltörése 28–105 millió forintért. A Google szerint ez is jól mutatja, mennyire iparszerűvé vált a sérülékenységek kihasználása: a támadók gyorsan, alacsony költséggel vehetik célba a be nem foltozott rendszereket, ezzel új magasságokba emelve a kiberbűnözést.

2025, adrienne, www.bleepingcomputer.com alapján