Los investigadores de seguridad de Google dicen que han encontrado evidencia de que piratas informáticos respaldados por el estado vinculados a Rusia y China están explotando vulnerabilidades parcheadas en WinRAR, una popular herramienta de archivo shareware de Windows. La vulnerabilidad WinRAR, descubierta por primera vez a principios de este año por la empresa de ciberseguridad Group-IB y numerada CVE-2023-38831, permite a los atacantes ocultar scripts maliciosos en archivos disfrazados de imágenes o documentos de texto aparentemente inofensivos.
Group-IB dijo que la vulnerabilidad fue explotada como una vulnerabilidad de día cero en abril porque los desarrolladores no tuvieron tiempo de arreglarla antes de que fuera explotada, comprometiendo los dispositivos de al menos 130 operadores financieros.
Rarlab, que fabrica herramientas de compresión, lanzó una versión actualizada de WinRAR (versión 6.23) el 2 de agosto para corregir la vulnerabilidad.
Aún así, el Grupo de Análisis de Amenazas (TAG) de Google dijo esta semana que sus investigadores observaron múltiples grupos de hackers respaldados por el gobierno explotando la falla de seguridad, señalando que "muchos usuarios" que no habían actualizado la aplicación todavía eran vulnerables. En una investigación compartida con TechCrunch antes de su publicación, TAG dijo que observó múltiples campañas que explotaban la vulnerabilidad de día cero de WinRAR vinculadas a grupos de hackers patrocinados por el estado y con vínculos con Rusia y China.
Uno de los grupos incluye una unidad de inteligencia militar rusa llamada Sandworm, conocida por sus ciberataques destructivos, como el ataque de ransomware NotPetya que el grupo lanzó en 2017, que atacó principalmente los sistemas informáticos ucranianos e interrumpió la red eléctrica del país.
Los investigadores de TAG observaron a Sandworm explotando una falla de WinRAR a principios de septiembre como parte de una campaña de correo electrónico malicioso haciéndose pasar por una escuela de entrenamiento de guerra con drones ucraniana. Los correos electrónicos contienen un enlace a un archivo malicioso que explota CVE-2023-38831, que cuando se abre instala malware para robar información en la computadora de la víctima y roba contraseñas del navegador.
Por otra parte, TAG dijo que observó que otro notorio grupo de hackers respaldado por Rusia (seguido como APT28, comúnmente conocido como FancyBear) explotó los ataques de día cero de WinRAR para atacar a usuarios ucranianos bajo la apariencia de una campaña de correo electrónico que se hacía pasar por el Centro Razumkov (una política pública). FancyBear es mejor conocido por su campaña de piratería y filtración de 2016 dirigida al Comité Nacional Demócrata.
Los hallazgos de Google siguen a un descubrimiento anterior de la firma de inteligencia de amenazas Cluster25, que dijo la semana pasada que también había observado a piratas informáticos rusos explotando la vulnerabilidad WinRAR en una campaña de phishing destinada a recopilar credenciales de sistemas infectados. Cluster25 dijo que evaluó con "confianza baja a moderada" que FancyBear estaba detrás de la campaña.
Google añadió que sus investigadores encontraron pruebas de que el grupo de hackers APT40, respaldado por China y que el gobierno estadounidense ha vinculado anteriormente con el Ministerio de Seguridad del Estado de China, también abusó de la vulnerabilidad de día cero de WinRAR como parte de campañas de phishing contra usuarios. En Papúa Nueva Guinea. Los correos electrónicos contienen enlaces de Dropbox para archivar archivos que contienen la vulnerabilidad CVE-2023-38831.
Los investigadores de TAG advierten que la explotación continua de las vulnerabilidades de WinRAR "destaca cuán efectivas pueden ser las vulnerabilidades conocidas" a medida que los atacantes aprovechan el lento ritmo de aplicación de parches.
aprender más:
https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/