1. 首页
  2. 系统工具

WinRAR新漏洞:网上流出大量伪装攻击压缩包

WinRAR新漏洞:网上流出大量伪装攻击压缩包

今年2月曝光的 WinRAR安全漏洞CVE-2018-20250 可通过压缩文件将恶意程序植入使用者的开机程序,受到广大黑客的青睐,除了McAfee透露在CVE-2018-20250漏洞被公布的第一周就侦测到逾100种不同的攻击行动之外,其它安全厂商也相继披露锁定该漏洞的攻击样本。

例如360威胁情报发现,在韩国出道的台湾女星叶舒华的压缩档案「10802201010叶舒华.rar」其实暗藏了远端控制后门程式OfficeUpdateService.exe,可用来掌控电脑的启动或关闭,窃取系统上的文件,或是盗录屏幕画面等。

另有一个RAR文件是锁定阿拉伯地区的使用者,黑客所散布的「JobDetail.rar」文件看似含有一个描述工作机会的PDF文档,但解压缩之后,它却在系统上植入了一个PowerShell后门程序,可再自远端服务器下载其它恶意程序。

至于FireEye最近发现的攻击样本「Scan_Letter_of_Approval.rar」则假冒为美国社会工作教育协会(CSWE)申请许可,但实则暗藏一个可与远端服务器交流的VBS后门程式。

还有一个「SysAid-Documentation.rar」文件锁定的攻击对象是以色列的军事产业,它伪装成来自IT服务管理软件厂商SysAid,解压缩之后却在启动程序中植入了恶意程式SappyCache。

针对乌克兰的「zakon.rar」则是以乌克兰前任总统所发出的产官合作信息为诱饵,只要以WinRAR解压缩它就会在启动程式中植入Empire后门程序。

FireEye还发现一个有趣的攻击样本,此一「leaks copy.rar」看似含有众多遭窃的电子邮件帐号及密码,但其实可能含有各种不同的恶意程序,从键盘侧录、密码窃取到远端存取木马等,该样本主要吸引的族群就是骇客。

研究人员警告,之所以能在短期内就能看到如此五花八门的WinRAR漏洞攻击样本,除了因为WinRAR拥有5亿的庞大用户之外,也因WinRAR缺乏自动更新机制,再加上CVE-2018-20250非常容易开采,相信未来会有更多的黑客继续利用该漏洞。

WinRAR已于2月28日发布修补此一漏洞的WinRAR 5.70,WinRAR用户应尽速展开升级。

原创文章,作者:techant,如若转载,请注明出处:https://www.ruancan.com/xitong/winrar-bug.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注