Vulnerabilidad afecta a todas las versiones de WinRAR correspondientes a los últimos 19 años

Una vulnerabilidad que afecta a todas las versiones de WinRAR correspondientes a los últimos 19 años se ha convertido en una explotación para muchos distribuidores de malware durante el último mes.

A la fecha se han detectado varias campañas durante las cuales grupos ciberdelincuentes (de acuerdo a algunos sitios también hay piratas informáticos financiados por Estado) intentaron explotar la vulnerabilidad de WinRAR para plantar malware en los dispositivos de los usuarios.

La vulnerabilidad fue divulgada públicamente el 20 de febrero. Un atacante puede crear archivos que se descomprimen con WinRAR colocando archivos maliciosos en cualquier lugar de los sistemas de los usuarios.

Check Point afirmó que los atacantes usarían esta vulnerabilidad (rastreada como CVE-2018-20250) para plantar malware en la carpeta de Inicio de Windows, donde se ejecutaría automáticamente después de cada reinicio del sistema.

Los grupos de hackers comenzaron a explotar la vulnerabilidad para plantar troyanos de backdoor en las computadoras de los usuarios.

vía @360TIC

Las campañas de spam continuaron después de esta primera campaña, y se diversificaron para distribuir diferentes cargas útiles de malware, utilizando diferentes señuelos, desde documentos técnicos hasta imágenes para adultos.

vía @360TIC

Los archivos maliciosos que intentaron explotar la falla de WinRAR también se enviaron a las agencias gubernamentales surcoreanas un día antes de la segunda cumbre que reunió a Donald Trump y Kim Jong-un (hay investigadores que señalan que Corea del Norte podría estar detrás, pero no hay información confirmada).

Pero este no fue el único evento en el que se vieron campañas de spear-phishing de temática política utilizando el exploit de WinRAR. Había otros dos.

El primero usó un tema sobre una ley ucraniana para atraer a las víctimas a descomprimir un archivo malicioso que explota la falla de WinRAR.

vía @360TIC

Y luego hubo una segunda campaña que utilizó un reclamo sobre las Naciones Unidas y los derechos humanos para apuntar a los usuarios en el Medio Oriente.

vía @360TIC

Ambos son ataques altamente dirigidos, y muy probablemente el trabajo de los servicios de inteligencia involucrados en el espionaje cibernético.

Con todo, los expertos de McAfee dicen que han visto “100 explotaciones y conteos únicos” que utilizaron la vulnerabilidad de WinRAR para infectar a los usuarios.

En el gran esquema de cosas, estos ataques continuarán debido a que WinRAR es una superficie de ataque ideal: La aplicación tiene más de 500 millones de usuarios (según su proveedor), la mayoría de los cuales probablemente se encuentren obsoletos. Versión que puede ser explotada.

Los desarrolladores de WinRAR lanzaron WinRAR 5.70 Beta 1 el 28 de enero para abordar esta vulnerabilidad, sin embargo, los usuarios deben visitar manualmente el sitio de WinRAR, descargarlo y luego instalarlo. Es muy probable que la gran mayoría de los usuarios no sepan que esta vulnerabilidad existe, y mucho menos que necesitan instalar una actualización de seguridad crítica.