I ricercatori di sicurezza di Google affermano di aver trovato prove di hacker sostenuti da Russia e Cina che stanno sfruttando una vulnerabilità zero-day in WinRAR.
Anche se risolta da allora in WinRAR, il popolare strumento di archiviazione shareware per Windows, il rischio di una nuova falla è concreta. Anche perché si tratta dell’ennesimo caso negli ultimi due mesi di zero-day bug.
Il bug zero-day proveniente da Russia e Cina
Il Threat Analysis Group (TAG) di Google ha affermato questa settimana che i suoi ricercatori hanno osservato diversi gruppi di hacker che sfruttavano la falla di sicurezza.
Come riporta TechCrunch, TAG afferma di aver osservato diverse campagne che sfruttavano il bug zero-day WinRAR. E che ha collegato a gruppi di hacking collegati con Russia e Cina.
Tra gli hacker che stanno sfruttando questo bug sembra ci sia un’unità di intelligence militare russa denominata Sandworm. Nota per attacchi informatici distruttivi, è conosciuta per l’attacco ransomware NotPetya lanciato nel 2017: sistemi informatici e linee elettriche ucraine sono state tutte colpite.
Ci sono prove che ad aver abusato di questo bug ci sia anche il gruppo di hacking sostenuto dalla Cina, noto come APT40. Per il governo degli Stati Uniti si tratterrebbe del Ministero della Sicurezza di Stato cinese, e avrebbe usato la falla per una campagna di phishing rivolta agli utenti basati su in Papua Nuova Guinea.
Come funziona questa vulnerabilità di WinRAR
La vulnerabilità WinRAR (CVE-2023-38831) consente agli aggressori di nascondere script dannosi nei file di archivio mascherati da immagini o documenti di testo apparentemente innocui. Questo zero-day è già stato segnalato, e ha già compromesso i dispositivi di almeno 130 trader.
Le scoperte di Google seguono una precedente scoperta da parte della società di intelligence, Cluster25. La settimana scorsa aveva dichiarato di aver osservato anche hacker russi sfruttare la vulnerabilità WinRAR come una campagna di phishing progettata per raccogliere credenziali da sistemi compromessi.
Anche se la versione aggiornata di WinRAR (versione 6.23) del 2 agosto è riuscita a correggere la vulnerabilità, i ricercatori di TAG avvertono che lo sfruttamento in corso del bug WinRAR “evidenzia che gli exploit per le vulnerabilità note possono essere molto efficaci”. Perché gli aggressori utilizzano tassi di patch lenti a proprio vantaggio.
