Un acteur malveillant a publié un faux exploit de preuve de concept (PoC) pour une vulnérabilité WinRAR récemment révélée sur GitHub dans le but d’infecter les utilisateurs qui ont téléchargé le code avec le malware VenomRAT.
« Le faux PoC destiné à exploiter cette vulnérabilité WinRAR était basé sur un script PoC accessible au public qui exploitait une vulnérabilité d’injection SQL dans une application appelée GeoServer, qui est suivie comme CVE-2023-25157 », a déclaré Robert Falcone, chercheur à l’Unité 42 de Palo Alto Networks. .
Alors que les faux PoC sont devenus une stratégie bien documentée pour cibler la communauté des chercheurs, la société de cybersécurité soupçonne que les acteurs de la menace ciblent de manière opportuniste d’autres escrocs susceptibles d’adopter les dernières vulnérabilités dans leur arsenal.
Whalersplonk, le compte GitHub qui hébergeait le référentiel, n’est plus accessible. Le PoC aurait été validé le 21 août 2023, quatre jours après l’annonce publique de la vulnérabilité.
CVE-2023-40477 concerne un problème de validation incorrecte dans l’utilitaire WinRAR qui pourrait être exploité pour réaliser l’exécution de code à distance (RCE) sur les systèmes Windows. Il a été corrigé le mois dernier par les responsables de la version WinRAR 6.23, aux côtés d’une autre faille activement exploitée, identifiée comme CVE-2023-38831.
Une analyse du référentiel révèle un script Python et une vidéo Streamable démontrant comment utiliser l’exploit. La vidéo a attiré 121 vues au total.
Le script Python, au lieu d’exécuter le PoC, s’adresse à un serveur distant (checkblacklistwords[.]eu) pour récupérer un exécutable nommé Windows.Gaming.Preview.exe, qui est une variante de Venom RAT. Il est doté de fonctionnalités permettant de répertorier les processus en cours d’exécution et de recevoir des commandes d’un serveur contrôlé par un acteur (94.156.253[.]109).
Un examen plus approfondi de l’infrastructure de l’attaque montre que l’acteur malveillant a créé les mots de la liste noire.[.]eu au moins 10 jours avant la divulgation publique de la faille, puis a rapidement saisi le caractère critique du bug pour attirer des victimes potentielles.
« Un acteur malveillant inconnu a tenté de compromettre des individus en publiant un faux PoC après l’annonce publique de la vulnérabilité, afin d’exploiter une vulnérabilité RCE dans une application bien connue », a déclaré Falcone.
« Ce PoC est faux et n’exploite pas la vulnérabilité de WinRAR, ce qui suggère que l’acteur a tenté de profiter d’un RCE très recherché dans WinRAR pour en compromettre d’autres. »
