Специалисты 360 Threat Intelligence Center сообщили о новой серьезной уязвимости в WinRAR.
Об этом они написали в Twitter.
Так, ранее специалисты из Check Point Software Technologies выяснили, что можно было создать специальный архив ACE, который при распаковке загружал вредоносный файл в обход фактического пути для распаковки архива. Таким образом, хакеры могли получить доступ к данным, включая переписку, фото, видео, а также данные банковских карт.
Тогда специалисты Check Point сообщили, что найденная проблема существовала в коде примерно 19 лет.
Стоит отметить, что разработчики архиватора для Windows WinRAR исправили эту уязвимость безопасности. В компании приняли решение отказаться от поддержки формата ACE вовсе.
Теперь эксперты 360 Threat Intelligence Center сообщили, что уязвимость уже находится под атакой. Спамеры начали включать в свои послания вредоносные архивы, которые при распаковке заражают компьютер бэкдором.
Как и ранее малварь при распаковке попадает прямиком в директорию Startup. При включенном UAC вредоносу попросту не хватит прав, и WinRAR сообщит, что в доступе было отказано, а операция завершилась неудачей.
Если же UAC отключен, вредонос попадает в директорию Startup под именем CMSTray.exe и потом будет выполнена автозагрузка. Затем CMSTray.exe скопирует себя в %Temp%\wbssrv.exe и выполнит файл wbssrv.exe, который свяжется с управляющим сервером и загрузит оттуда инструмент Cobalt Strike Beacon DLL, который злоумышленники используют для удаленного доступа к компьютерам жертв.