Grupos de hackers pró-russos exploraram recentemente uma vulnerabilidade de segurança no utilitário de arquivamento WinRAR.
Essa exploração faz parte de uma campanha de phishing destinada a coletar credenciais de sistemas comprometidos. A vulnerabilidade em questão afeta as versões do WinRAR anteriores à 6.23 e é identificada como CVE-2023-38831.
O mecanismo de ataque envolve o uso de arquivos de arquivo maliciosos que exploram a vulnerabilidade mencionada. Quando um usuário clica em um arquivo PDF armadilhado dentro do arquivo, um script do Windows Batch é executado.
Esse script, por sua vez, lança comandos do PowerShell que abrem um shell reverso, concedendo ao invasor acesso remoto ao sistema alvo.
Além do shell reverso, um script do PowerShell é implantado para roubar dados, incluindo credenciais de login, dos navegadores Google Chrome e Microsoft Edge.
A vulnerabilidade CVE-2023-38831 é uma falha de alta gravidade que permite aos invasores executar código arbitrário quando um usuário tenta visualizar um arquivo benigno dentro de um arquivo ZIP. Esse bug foi armado como um zero-day desde abril de 2023, visando especificamente traders.