Vulnerabilidad de WinRAR utilizada para atacar a empresas

Una vulnerabilidad de WinRAR (el popular software de compresión de archivos ZIP) fue descubierta por el investigador israelí Danor Cohen. La misma está siendo explotada en una campaña de malware dirigida a gobiernos, organizaciones internacionales y grandes empresas.

Esta vulnerabilidad permite que los atacantes creen un archivo ZIP que aparenta contener un archivo tal como una foto, pero que en realidad puede llegar a ser un archivo ejecutable que desencadena una infección del sistema. De esta forma, el ciberatacante fácilmente comprimir cualquier tipo de malware con WinRAR y luego hacer pasar ese archivo como un archivo ZIP de un archivo beningno.

La vulnerabilidad fue bautizada por Cohen como “spoofing de extensión de archivo de WinRAR”, y según los investigadores de IntelCrawler, la misma está presente en todas las versiones de este popular software, inclusive en la 5.1. La explotación de esta vulnerabilidad se da cuando WinRAR comprime un archivo y crea nuevas propiedades, incluyendo la función de “cambiar el nombre del archivo”. Al alterar esta información, el ZIP dirá que contiene algo diferente a lo que realmente aloja.

De acuerdo a IntelCrawler, los atacantes están explotando esta vulnerabilidad desde el 24 de marzo para realizar una campaña de ciberespionaje dirigida a corporaciones aeroespaciales, empresas militares subcontratadas, embajadas y grandes empresas. Una de las muestras era un e-mail de spam que decía provenir del Consejo Europeo de Asuntos Legales, y en el que se adjuntaba un archivo ZIP malicioso y protegido con contraseña, la cual era incluida en el cuerpo del mail.

Créditos imagen: Mycael

Autor , ESET

Síguenos