文/林妍溱 | 2023-08-24發表
背景圖片來源/ Visax on unsplash
檔案壓縮軟體WinRAR一項漏洞可讓用戶點擊無害檔案時遭安裝惡意程式,至少4月已經被用來攻擊加密貨幣投資人從帳號內竊取財物。
安全廠商Group-IB 7月偵測到,WinRAR一個之前未知的漏洞遭駭客濫用,用以散布DarkMe等惡意程式。這個編號CVE-2023-38831的漏洞位於ZIP檔案的處理過程,攻擊者可以製作惡意.ZIP或.RAR壓縮檔,當中包含無害檔案(例如.jpg、.txt或PDF檔等)及惡意執行檔,並以無害檔名為資料夾命名。當使用者點擊並試圖解壓縮看似合法的檔案時,即被安裝惡意程式。
Group-IB研究,已有DarkMe、GuLoader、Remcos RAT等惡意程式經由惡意.ZIP挾帶散布,並以加密貨幣交易者為攻擊目標。至少在今年4月間,該漏洞已被濫用製作惡意壓縮檔在加密貨幣交易平臺論壇上散布,以感染受害者裝置,以DarkMe為例,攻擊者旨在從加密貨幣投資人交易帳號竊取財物。截至本周,研究人員發現還有130臺交易者的裝置感染該惡意程式。
Bleeping Computer報導,DarkMe過去和以金錢為目的的EvilNum組織有關,但不確定該群人是否也策畫了此次攻擊。
WinRAR維護單位RARLab在接獲安全廠商通報後,已在7月20日發布WinRAR 6.23版本解決本漏洞。安全廠商建議有用戶應升級到最新版本。
這是WinRAR近日揭露的第二項漏洞。上周Zero Day Initiative(ZDI)也揭露高風險漏洞CVE-2023-40477,可讓遠端攻擊者傳送惡意RAR檔,受害者一旦開啟檔案,即可在其電腦上執行任意程式。兩項漏洞都是在WinRAR 6.23版修補完成。
線