🔥 UBND xã Kroong, thành Phố Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 Trường Tiểu học Vinh Quang đã đăng ký tín nhiệm. 🔥                    🔥 Ủy ban nhân dân xã Măng Cành, huyện Kon Plông, tỉnh Kon Tum đã đăng ký tín nhiệm. 🔥                    🔥 CỔNG THÔNG TIN ĐIỆN TỬ XÃ ĐẠ ĐỜN đã đăng ký tín nhiệm. 🔥                    🔥 Uỷ Ban Nhân Dân Thị Trấn Chợ Rã đã đăng ký tín nhiệm. 🔥                   

Cẩn thận: PoC giả mạo cho lỗ hổng WinRAR trên GitHub lây nhiễm VenomRAT cho người dùng

21/09/2023

Một tác nhân đe dọa đã phát hành mã khai thác (PoC) giả mạo cho lỗ hổng WinRAR được tiết lộ gần đây trên GitHub nhằm mục đích lây nhiễm phần mềm độc hại VenomRAT cho những người dùng đã tải xuống mã.

Nhà nghiên cứu Robert Falcone của Palo Alto Networks Unit 42 cho biết: “PoC giả mạo cho lỗ hổng WinRAR này dựa trên mã PoC có sẵn công khai dùng để khai thác lỗ hổng SQL injection được định danh CVE-2023-25157 trong ứng dụng GeoServer”.

Việc sử dụng các PoC giả để nhắm mục tiêu vào cộng đồng nghiên cứu không phải là một chiến thuật tấn công mới, tuy nhiên công ty bảo mật nghi ngờ rằng kẻ đứng sau việc này đang nhắm mục tiêu đến những kẻ lừa đảo khác, những người có thể đang lợi dụng các lỗ hổng mới nhất để bổ sung vào kho công cụ tấn công của họ.

Whalersplonk, tài khoản GitHub phát hành kho lưu trữ, hiện không thể truy cập được nữa. PoC được cho là đã được commit vào ngày 21 tháng 8 năm 2023, bốn ngày sau khi lỗ hổng được công bố công khai.

CVE-2023-40477, liên quan đến vấn đề kiểm tra xác thực không chính xác trong tiện ích WinRAR, có thể bị khai thác để thực thi mã từ xa (RCE) trên hệ thống Windows. Nó đã được các nhà bảo trì giải quyết vào tháng trước trong phiên bản WinRAR 6.23, cùng với một lỗ hổng đã bị khai thác trong thực tế khác - CVE-2023-38831.

Phân tích kho lưu trữ cho thấy tập lệnh Python và video trình bày cách sử dụng mã khai thác đã có hơn 100 lượt xem.

Tập lệnh Python không chạy PoC mà kết nối đến một máy chủ từ xa (checkblacklistwords[.]eu) để tải về tệp thực thi có tên Windows.Gaming.Preview.exe, một biến thể của Venom RAT, có khả năng liệt kê các tiến trình đang chạy và nhận lệnh từ máy chủ do tác nhân đe dọa điều khiển (94.156.253[.]109).

Phân tích cơ sở hạ tầng tấn công cho thấy tác nhân đe dọa đã tạo tên miền checkblacklistwords[.]eu ít nhất 10 ngày trước khi lỗ hổng được tiết lộ công khai, sau đó nhanh chóng nắm bắt mức độ nghiêm trọng của lỗ hổng để thu hút nạn nhân tiềm năng.

Người dùng - những nhà nghiên cứu bảo mật - cần xem xét, kiểm tra cẩn thận trước khi tải về mã (code) từ những nguồn không tin cậy và nên cách ly mã trong môi trường thử nghiệm (máy ảo) để tránh các rủi ro tiềm ẩn.

Nguồn: thehackernews.com.

scrolltop