A WinRAR szoftver jelenleg nem rendelkezik automatikus frissítési lehetőséggel, ami előnyt jelenthet az államilag támogatott hackerek számára, mivel ezáltal könnyen kihasználhatják a programban fellelhető ismert hibákat. Sok felhasználó mulasztja el telepíteni az elérhető javításokat, ami a szoftver egy adott gyengeségének további terjedéséhez vezet – állapította meg a Google.
A cég most arra figyelmeztet, hogy „több államilag támogatott hackercsoport” használja ezt a CVE-2023-3883 kóddal jelölt hibát kártékony szoftverek terjesztésére.
„A WinRAR hibájának széleskörű kiaknázása felhívja a figyelmet arra, hogy az ismert sebezhetőségek ellenére is gyakoriak lehetnek a támadások, még ha a javítás elérhető is” – említi a Google blogposztjában.
Bár a WinRAR már javította ezt a hibát a 6.23-as verziójában augusztus 2-án, a hackerek április óta kiaknázzák azt. Mivel nincs beépített frissítési lehetőség, a felhasználóknak saját kezűleg kell letölteniük és telepíteniük a frissítéseket a WinRAR honlapjáról.
„A javítás ugyan elérhető, de számos felhasználó még mindig sebezhető” – hangsúlyozza a Google.
A cég továbbá rámutatott, hogy számos államilag támogatott hackercsoport, beleértve az orosz „Sandworm” csoportot, kihasználja ezt a hibát. A Google egy olyan phishing e-mailt is felfedezett, amely úgy tűnik, egy ukrán drónháborús oktatási intézménytől származik, célja pedig kifejezetten az ukrán felhasználók megcélzása.
Az e-mail egy linket tartalmaz, ami a fex[.]net nevű fájlmegosztóra mutat, benne egy álcázott PDF dokumentummal és egy kártékony ZIP fájllal, amely kihasználja a CVE-2023-3883 hibát – teszi hozzá a Google. Egy dokumentum megnyitása ebben a ZIP fájlban egy „infostealer” nevű kártékony szoftvert aktivál, amely képes ellopni a bejelentkezési adatokat.
Egy másik esetben a „Fancy Bear” néven ismert orosz hackercsoport egy phishing weboldalt hozott létre, hogy ukrán felhasználókat ösztönözzön egy ZIP fájl letöltésére, ami szintén kiaknázza a WinRAR hibáját.
„Az álcázott dokumentum egy meghívásnak tűnik a Razumkov Központ egyik eseményére, ami egy közpolitikai gondolkodó műhely Ukrajnában” – említi a Google.
Kínai hackerek is kihasználták ezt a hibát. Az APT40 névre hallgató csoport egy phishing támadást indított Pápua Új-Guinea felhasználói ellen.
„Az e-mailek Dropbox linket tartalmaznak egy ZIP archívumhoz, mely a CVE-2023-3883 kiaknázását, egy jelszóval védett álcázott PDF-et és egy LNK fájlt tartalmaz” – tájékoztat a Google.
Ezért a Google arra sürgeti a WinRAR felhasználókat, hogy frissítsék a programjukat.
„Ezek a támadások, amelyek a WinRAR hibáját célozzák meg, hangsúlyozzák a frissítések fontosságát, és arra figyelmeztetnek, hogy a felhasználóknak még sok teendője van a szoftvereik naprakészen és biztonságosan tartásához” – jelenti ki.
Felvettük a kapcsolatot a WinRAR-rel, hogy megtudjuk, terveznek-e automatikus frissítési funkciót bevezetni, és frissítjük a cikket, amint választ kapunk. Addig is fontos megjegyezni, hogy a WinRAR weboldala szerint a programnak világszerte több mint 500 millió felhasználója van.