Group-IB 的最新發(fā)現(xiàn)顯示，自 2023 年 4 月以來， WinRAR 壓縮軟件中一個最近修補(bǔ)的安全漏洞已被利用為零日漏洞。

該漏洞被標(biāo)記為 CVE-2023-38831，允許威脅者仿用文件擴(kuò)展名，從而在偽裝成看似無害的圖像或文本文件的壓縮包中啟動惡意腳本。2023 年 8 月 2 日發(fā)布的 6.23 版本修補(bǔ)了這一漏洞，同時修復(fù)的還有 CVE-2023-40477。

在新加坡公司于 2023 年 7 月發(fā)現(xiàn)的攻擊中，通過 Forex Station 等交易相關(guān)論壇分發(fā)的特制 ZIP 或 RAR 壓縮文件被用于傳播 DarkMe、GuLoader 和 Remcos RAT 等多種惡意軟件。

Group-IB 惡意軟件分析師安德烈-波羅文金（Andrey Polovinkin）說：在感染設(shè)備后，網(wǎng)絡(luò)犯罪分子會從經(jīng)紀(jì)人賬戶中提取資金。目前尚不清楚受害者總?cè)藬?shù)和由此造成的經(jīng)濟(jì)損失。

誘殺壓縮文件的創(chuàng)建方式是包含一個圖像文件和一個同名文件夾。

因此，當(dāng)受害者點擊圖片時，文件夾中的批處理腳本就會被執(zhí)行，然后用于啟動下一階段，即用于提取和啟動其他文件的 SFX CAB 存檔。與此同時，腳本還會加載誘餌圖片，以免引起懷疑。

波羅文金告訴《黑客新聞》：CVE-2023-38831 是由于在打開 ZIP 壓縮包中的文件時出現(xiàn)處理錯誤造成的。武器化的 ZIP 壓縮包已在至少 8 個流行的交易論壇上傳播，因此受害者的地理位置非常廣泛，攻擊并不針對特定的國家或行業(yè)。

目前還不知道誰是利用 WinRAR 漏洞進(jìn)行攻擊的幕后黑手。盡管如此，DarkMe 是一種 Visual Basic 木馬，歸屬于 EvilNum 組織，NSFOCUS 于 2022 年 9 月首次記錄到它與一個代號為 DarkCasino 的針對歐洲在線賭博和交易服務(wù)的網(wǎng)絡(luò)釣魚活動有關(guān)。

同樣使用這種手段傳播的還有一種名為 GuLoader（又名 CloudEye）的惡意軟件，它隨后會嘗試從遠(yuǎn)程服務(wù)器獲取 Remcos RAT。

Polovinkin 說：最近利用 CVE-2023-38831 的案例提醒我們，與軟件漏洞相關(guān)的風(fēng)險始終存在。攻擊者手段資源豐富，他們總能找到新的方法來發(fā)現(xiàn)并利用漏洞。

參考鏈接：https://thehackernews.com/2023/08/winrar-security-flaw-exploited-in-zero.html