Cybergang conocido explota la antigua falla de WinRAR para atacar a los clientes de Windows Enterprise
Hace catorce meses, los investigadores de CheckPoint encontraron una biblioteca de enlace dinámico (DLL) vulnerable utilizada por la popular herramienta de compresión WinRar. La dll permite que los archivos maliciosos se archiven utilizando el formato de compresión .ace para ingresar a la máquina seleccionada al extraer WinRAR. La falla, que expuso de inmediato a mil millones de usuarios de WinRAR a posibles ataques, fue tan grave que el proveedor del programa lanzó una versión actualizada del software que ya no era compatible con la extracción de archivos .ace. Sin embargo, nunca lanzaron un parche para la versión 5.61 actual (y anterior), lo que implica que un gran número de usuarios de WinRAR siguen en riesgo hasta el día de hoy.
Hechos rápidos de las hazañas cibernéticas:
- Una pandilla de delitos informáticos conocida como MuddyWater desarrolló el exploit.
- Las víctimas más recientes son clientes de Microsoft Enterprise que proporcionan servicios de comunicaciones y satélites.
- La amenaza llegó como una colección de archivos de archivo .ace comprometidos capaces de plantar malware en una PC después de la extracción de WinRar.
Tabla de contenido
Las últimas víctimas de la falla de WinRAR
A juzgar por el reciente ataque contra clientes empresariales de Microsoft Windows que proporcionan servicios de comunicaciones por satélite y satélite, el exploit sigue siendo muy activo. En marzo de 2019, la división de Protección contra amenazas avanzadas (ATP) de Microsoft Office 365 detectó una colección de archivos .ace maliciosos en muchas máquinas basadas en Windows 10 Enterprise que pertenecen a clientes corporativos. Resultó que los datos en cuestión explotaban la vulnerabilidad CVE-2018-20250, es decir, la falla asociada con el archivo .dll comprometido responsable de extraer los archivos .ace de todas las versiones de WinRAR, barra 5.70 (la actual). Aunque WinRAR lanzó v5.70 hace más de un año, muchos usuarios aún no se han actualizado a la nueva versión libre de .ace.
El principal sospechoso: un conocido grupo APT
Según Microsoft, fue MuddyWater, un equipo de amenaza persistente avanzada (APT), quien inició el ataque de marzo de 2019. Los piratas informáticos de MuddyWater son conocidos por enviar correos electrónicos de phishing a entidades públicas y organizaciones empresariales en los Estados Unidos, Europa y el Medio Oriente. Hasta ahora, la pandilla MuddyWater ha llevado a cabo ataques en Jordania, Turquía, Arabia Saudita, Azerbaiyán, Irak, Pakistán y Afganistán, por nombrar solo algunos. Cada intervención ha incluido malware en macros incrustado en un documento adjunto de un correo electrónico no deseado. La apertura del archivo adjunto dio lugar a una solicitud para habilitar macros, mientras que la última permitió la ejecución remota de código.
Esta vez es un poco diferente, aunque
Parece que la nueva campaña presenta un enfoque ligeramente modificado. En lugar de plantar un archivo de Word cargado de malware, los delincuentes adjuntan un documento sin macro en su lugar. Este último contiene una URL de OneDrive que, cuando se abre, elimina un archivo ace que contiene otro archivo de Word. A diferencia del archivo adjunto original, el nuevo documento está lleno de macros maliciosas. La infección es exitosa si el receptor confiado:
- Habilita las macros cuando se le solicite hacerlo.
- Acepta reiniciar la PC para reparar un archivo .dll faltante.
Hacer lo primero lleva la carga útil del malware, un archivo llamado dropbox.exe, a la carpeta de inicio de Windows. Al hacer esto último, se carga el malware durante el inicio del sistema, dando a los atacantes en el servidor de C&C acceso remoto a la computadora correspondiente.
La gran cantidad de usuarios de WinRAR en todo el mundo plantea desafíos para una transición rápida a la versión actual 5.70. Desafortunadamente, sigue siendo la única versión de WinRAR en circulación inmune a la vulnerabilidad CVE-2018-20250.