今年 2 月曝光的 WinRAR 安全漏洞 CVE-2018-20250 可通过压缩文件将恶意程序植入使用者的开机程序,受到广大黑客的青睐,除了 McAfee 透露在 CVE-2018-20250 漏洞被公布的第一周就侦测到逾 100 种不同的攻击行动之外,其它安全厂商也相继披露锁定该漏洞的攻击样本。
例如 360 威胁情报发现,在韩国出道的台湾女星叶舒华的压缩档案 「10802201010 叶舒华.rar」其实暗藏了远端控制后门程式 OfficeUpdateService.exe,可用来掌控电脑的启动或关闭,窃取系统上的文件,或是盗录屏幕画面等。
另有一个 RAR 文件是锁定阿拉伯地区的使用者,黑客所散布的 「JobDetail.rar」文件看似含有一个描述工作机会的 PDF 文档,但解压缩之后,它却在系统上植入了一个 PowerShell 后门程序,可再自远端服务器下载其它恶意程序。
至于 FireEye 最近发现的攻击样本 「Scan_Letter_of_Approval.rar」则假冒为美国社会工作教育协会(CSWE)申请许可,但实则暗藏一个可与远端服务器交流的 VBS 后门程式。
还有一个 「SysAid-Documentation.rar」文件锁定的攻击对象是以色列的军事产业,它伪装成来自 IT 服务管理软件厂商 SysAid,解压缩之后却在启动程序中植入了恶意程式 SappyCache。
针对乌克兰的 「zakon.rar」则是以乌克兰前任总统所发出的产官合作信息为诱饵,只要以 WinRAR 解压缩它就会在启动程式中植入 Empire 后门程序。
FireEye 还发现一个有趣的攻击样本,此一 「leaks copy.rar」看似含有众多遭窃的电子邮件帐号及密码,但其实可能含有各种不同的恶意程序,从键盘侧录、密码窃取到远端存取木马等,该样本主要吸引的族群就是骇客。
研究人员警告,之所以能在短期内就能看到如此五花八门的 WinRAR 漏洞攻击样本,除了因为 WinRAR 拥有 5 亿的庞大用户之外,也因 WinRAR 缺乏自动更新机制,再加上 CVE-2018-20250 非常容易开采,相信未来会有更多的黑客继续利用该漏洞。
WinRAR 已于 2 月 28 日发布修补此一漏洞的 WinRAR 5.70,WinRAR 用户应尽速展开升级。
微信扫一扫