martedì 19 marzo 2019

Raffica di attacchi che sfruttano una vulnerabilità di WinRAR per diffondere malware: c'è pure un ransoware


WinRAR è un programma estremamente diffuso e popolare, il più usato dagli utenti Windows per la gestione di archivi compressi in diversi formati: non ci sono dubbi quindi che, per i cyber attaccanti, sia un target sicuro che permette un vasto "terreno di caccia". Qualche giorno fa il ricercatore Nadav Grossman ha denunciato la presenza in WinRAR di un bug presente da oltre 19 anni e mai scoperto: una vulnerabilità 0-day di livello critico. 

La problematica ruota attorno al formato compresso ACE: è nella gestione dei file compressi in questo formato che si annida la vulnerabilità CVE-2018-20250, che consente l'esecuzione di codice da remoto al momento stesso in cui viene estratto il file. Se infatti un utente apre un archivio compromesso in formato ACE usando WinRar, un eventuale malware contenuto al suo interno  può essere immediatamente installato sul computer.  Ma un exploit con successo di questo bug consente all'attaccante anche altre azioni dannose, come la possibilità di estrarre file nella cartella che contiene i programmi di startup, quelli che vengono immediatamente eseguite all'avvio stesso del pc o la possibilità di sfruttare il protocollo SMB per diffondersi ulteriormente nella rete.  Il rischio di contagiosità poi è elevatissimo, dato che gli archivi compressi sono pensati appositamente per la condivisione agile e veloce di file pesanti. 

E qui arriva la parte peggiore del problema: il team di sviluppo di WinRAR ha fatto sapere che il progetto UNACEV2.DLL (la libreria di terze parti necessaria per l'estrazione degli archivi ACE) non è aggiornata dal 2005 e il suo codice sorgente non è accessibile. Così da WinRAR fanno sapere che, non essendo approntabile alcuna patch, semplicemente il formato ACE non sarà più supportato dalla versione 5.70 beta1. 

Dalla pubblicazione della notizia una raffica di attacchi
Che una vulnerabilità di questo tipo sia grave è chiaro, ma i cyber criminali l'hanno voluto ribadire a chiare lettere avviando una raffica di attacchi, fino a battere il record di quasi 100 diversi exploit usati in pochissime settimane per forzare la falla. Un primo attacco, denunciato dal 360 Threat Intelligence Center, avviene intorno al 20 Febbraio e sfrutta classiche tecniche di phishing: gli attaccanti diffondevano un file ACE contenente numerose immagini di attraenti donne e "lì in mezzo" hanno inserito il codice che attiva l'exploit.

Fonte: securityinfo.it

In questo caso veniva scaricato il payload di un trojan ben conosciuto, OfficeUpdateService.exe, usato per accede e rubare dati e informazioni sensibili sul computer infetto. 

Negli USA invece è stata diffusa una versione compromessa del nuovo album musicale di Ariana Grande, con "sorpresa": al suo intero il codice di exploit che consente di aggiungere malware alla cartella dei software di startup. 

Il ransomware JNEC.a
il ransomware JNEC.a è stato individuato pochissimi giorni fa e si diffonde proprio sfruttando la vulnerabilità del formato ACE. Una volta eseguito, cripta i dati sul computer (ma anche nelle condivisioni di rete) e vi aggiunge l'estensione di criptazione .Jnec. Il riscatto ammonta a 0.05 Bitcoin, circa 200 dollari statunitensi. La nota di riscatto contiene ovviamente l'indirizzo per il pagamento del riscatto, peccato che questo non sia registrato e sia compito della vittima farlo per ottenere la chiave di decriptazione. 

Un'altra stranezza di questo ransomware, la cui diffusione non pare geografica ma "a macchia di leopardo" è il fatto che l'autore del malware fornisce alla vittima, tramite il file di testo JNEC.README.TXT (scaricato sul computer subito dopo la criptazione dei file), chiare indicazioni per la creazione di uno specifico account email GMAIL sul quale ricevere istruzioni mirate.

Fonte: bleepingcomputer.com

L'archivio che contiene il ransomware è ovviamente in formato ACE ed avvia l'exploit grazie alla vulnerabilità di WinRar (fatta eccezione per la v.5.70, l'unica non vulnerabile).  L'archivio contiene una immagine corrotta di una ragazza che, una volta decompressa, si attiva e genera un errore, mostrando l'immagine incompleta. 


Che l'utente cerchi di capire quale errore tecnico generi la visualizzazione corrotta della foto, sia che cestini l'archivio, poco cambia: il ransomware è già nel sistema, inserito nella cartella di Startup di Windows. Si eseguirà al successivo avvio di sistema. Come tecnica di camuffamento, il processo del ransomware è stato chiamato GoogleUpdate.exe, nell'evidente tentativo di essere scambiato per un processo legittimo. 

NESSUNO PAGHI IL RISCATTO
se pagare il riscatto è generalmente sconsigliabile , in questo caso lo è ancora di più: il ricercatore di sicurezza Michael Gillespie, esperto di ransomware, ha analizzato il codice del malware e ha scoperto che la routine di criptazione ha un bug. In parole semplici, è probabile che neppure lo sviluppatore del ransomware possa riportare in chiaro i file. 

Nessun commento:

Posta un commento