WinRAR, jeden z najpopularniejszych programów na świecie – używany przez ponad pół miliarda osób – miał poważną lukę bezpieczeństwa, która była i jest nadal wykorzystywana do przeprowadzania ataków. Cyberprzestępcy dostarczają do ofiar spreparowane pliki archiwów WinRAR, które na pierwszy rzut oka zawierają wiarygodne dokumenty. Z powodu luki w programie, rozpakowanie zawartości powoduje przedostanie się na komputer ofiary złośliwych plików do kluczowych folderów systemu Windows, np. folderów startowych. Tym samym po każdym włączeniu komputera te pliki uruchamiają się automatycznie, dając atakującym dostęp do urządzenia i możliwość kradzieży danych lub instalowania kolejnych programów szpiegujących — wszystko bez wiedzy użytkownika.
Lukę w programie w lipcu br. znaleźli analitycy z ESET Research. Można ją załatać instalując ręcznie aktualizację ze strony producenta.
Komentarz eksperta:
Beniamin Szczepankiewicz, analityk laboratorium antywirusowego ESET
W praktyce osoba, która rozpakowała złośliwe archiwum za pomocą „dziurawej” wersji WinRAR’a lub innych komponentów zawierających lukę, może stracić dane logowania, dokumenty czy zdjęcia, a jej sprzęt może zostać wykorzystany do kolejnych ataków.
Aktualnie wykorzystanie tej podatności przypisuje się RomCom, rosyjskiej grupie cyberprzestępczej typu APT (Advanced Persistent Threat), specjalizującej się w atakach szpiegowskich precyzyjnie wymierzonych w wybrane osoby i organizacje z kluczowych sektorów gospodarki. RomCom najczęściej wykorzystuje spear phishing — to forma ataku, w której ofiara otrzymuje starannie przygotowaną wiadomość e-mail (najczęściej z plikami)od pozornie zaufanego nadawcy, np. firmy, instytucji czy współpracownika.
W przypadku wykorzystania WinRAR-a jako wektora ataku, złośliwe pliki mogą być spakowane np. razem z dokumentem aplikacyjnym kandydata do pracy (CV), raportem lub np. ofertą handlową. Po rozpakowaniu archiwum ukryty program trafia do wrażliwych folderów systemu Windows, w tym do tzw. folderów startowych. Dzięki temu uruchamia się automatycznie przy każdym włączeniu komputera, a napastnicy mogą uzyskać stały dostęp do urządzenia ofiary.
Aby uniknąć zagrożenia wynikającego z pobierania i rozpakowywania dokumentów przez WinRAR, należy niezwłocznie zainstalować ręcznie najnowszą aktualizację pobraną z oficjalnej strony producenta.
Znajdujemy się w ogniu toczącej się za naszą wschodnią granicą wojny, a tego typu ataki ze strony wyspecjalizowanych rosyjskich grup APT stanowią jej cyfrowe oblicze. To codzienna rzeczywistość, w której cyberprzestępcy polują na pracowników różnych firm oraz zwykłych internautów. Czasami ograniczone zaufanie do niespodziewanych wiadomości może być niewystarczające — kluczowe jest szybkie instalowanie aktualizacji, pobieranie oprogramowania wyłącznie z oficjalnych źródeł oraz stosowanie oprogramowania zabezpieczającego, które stanowią cyfrową zaporę