نماد سایت اتاق خبر شبکه گستر

بهره‌جویی از آسیب‌پذیری WinRAR با هدف انتشار بدافزار

محققان از شناسایی کارزاری هرزنامه‌ای خبر داده‌اند که در جریان آن ایمیل‌هایی با پیوست فایل RAR به کاربران ارسال می‌شود. فایل مذکور مجهز به کد مخربی است که با سوءاستفاده از یک ضعف امنیتی به تازگی کشف شده در نرم‌افزار WinRAR دستگاه را به بدافزار آلوده می‌کند.

هفته گذشته، محققان از ضعفی 19 ساله در کتابخانه UNACEV2.DLL نرم‌افزار WinRAR پرده برداشتند که بهره‌جویی از آن امکان کپی فایل در پوشه Startup را در حین باز کردن فایل‌های فشرده ACE فراهم می‌کند. امکانی که عملا مهاجم را قادر به ماندگار کردن فایل مخرب خود بر روی دستگاه قربانی می‌سازد.

از آنجا که توسعه‌دهندگان WinRAR، دیگر به کد منبع کتابخانه UNACEV2.DLL دسترسی ندارند در عوض رفع اشکال باگ، فایل DLL و در نتیجه پشتیبانی از قالب ACE را در آخرین نسخه این نرم‌افزار (5.70) حذف کرده‌اند.

گفته می‌شود که حدود نیم‌میلیارد کاربر در سرتاسر جهان از جمله ایران از نرم‌افزار WinRAR بر روی دستگاه‌های خود استفاده می‌کنند. اما مشخص است که حداقل بخش قابل توجهی از این کاربران نرم‌افزار خود را به آخرین نسخه ارتقا نداده‌اند. موضوعی که از چشم مهاجمان دور نمانده است.

به گزارش شرکت مهندسی شبکه گستر، در کارزار هرزنامه‌ای اخیر، در زمان باز کردن فایل RAR پیوست شده به ایمیل، بدافزاری از نوع درب‌پشتی (Backdoor) بر روی دستگاه قربانی نصب می‌شود.

همانطور که در تصویر زیر نمایش داده شده است در فایل مذکور کد مخربی تزریق شده که وظیفه آن کپی فایلی با نام CMSTray.exe در پوشه Startup است. فایلی که نشان آن نیز برای فریب کاربر به نشان فایل‌های Word تغییر داده شده است.

در صورت غیرفعال بودن بخش UAC یا در صورتی که WinRAR با دسترسی Administrator اجرا شده باشد CMSTray.exe در مسیر زیر کپی می‌شود:

این عملیات سبب می‌گردد که در راه‌اندازی بعدی دستگاه، بدافزار به‌صورت خودکار و بدون دخالت کاربر اجرا شود.

با اجرای CMSTray.exe نیز فایلی مخرب تحت نام wbssrv.exe در مسیر %Temp% کپی می‌شود.

wbssrv.exe با برقراری ارتباط با نشانی http[://]138.204.171.108 چندین فایل از جمله ابزار هک Cobalt Strike که امکان دسترسی از راه دور به دستگاه را فراهم می‌کند دریافت می‌کند.

به تمامی کاربران توصیه می‌شود که در اولین فرصت نسبت به ارتقای نرم‌افزار WinRAR خود به نسخه 5.70 اقدام کنند.

خروج از نسخه موبایل