I ricercatori di sicurezza di Palo Alto Networks hanno scoperto una nuova campagna malware che prende di mira la vulnerabilità CVE-2023-40477 in WinRAR propinando ai ricercatori un falso Proof-of-Concept (PoC) che in realtà scarica ed esegue il payload VenomRAT.
VenomRAT è un trojan di accesso remoto (RAT) utilizzato per rubare dati, eseguire comandi sul sistema della vittima e controllare il sistema da remoto.
Il falso PoC
Il falso PoC (uno script Python) sarebbe stato derivato da un codice PoC disponibile pubblicamente per una vulnerabilità in GeoServer tracciata come CVE-2023-25157 e modificato aggiungendo ulteriore codice per scaricare ed eseguire uno script batch che avvia la catena di infezione VenomRAT. A scoprire per primo il falso PoC ospitato in un repository GitHub è stato AabyssZG, un ricercatore cinese di sicurezza informatica che ha pubblicato un post su X alla fine di agosto.
Secondo il post sul blog di Palo Alto Networks , il codice aggiunto al PoC CVE-2023-25157 crea uno script batch “%TEMP%/bat.bat” che scarica da uno URL uno script PowerShell che porta al salvataggio del payload VenomRAT in “%APPDATA%\Drivers\Windows.Gaming.Preview.exe” ed alla sua persistenza tramite un’attività pianificata (denominata Windows.Gaming.Preview).
Raccomandazioni
E’ evidente che lo scopo di questa campagna sia quello di ottenere l’accesso ai sistemi dei ricercatori e rubare i loro dati allo scopo di utilizzare i sistemi compromessi per lanciare ulteriori attacchi.
“Anche se non possiamo fornire cifre precise sull’impatto o sul numero di violazioni, abbiamo visto che il video didattico fornito dall’autore insieme allo script dell’exploit falso ha avuto 121 visualizzazioni.“, concludono i ricercatori di Palo Alto Networks. Pertanto si raccomanda di adottare sempre delle misure di protezione per mitigare il rischio d’infezione da malware, tenendo aggiornati sistemi e software all’ultima versione disponibile, prestando attenzione a scaricare i file da fonti attendibili e utilizzando una soluzione di sicurezza antivirus adeguata e aggiornata.
Un elenco completo degli IoC di questa campagna è stata resa disponibile da Palo Alto Networks su GitHub .