Bekannte Cybergang nutzt alten WinRAR-Fehler aus, um Windows Enterprise-Kunden anzugreifen

Vor vierzehn Monaten stießen Forscher bei CheckPoint auf eine anfällige Dynamic Link Library (DLL), die vom beliebten WinRar-Komprimierungstool verwendet wurde. Die DLL lässt schädliche Dateien mit dem Komprimierungsformat .ace archivieren, um bei der WinRAR-Extraktion auf den Zielcomputer zu gelangen. Der Fehler, durch den sofort eine halbe Milliarde WinRAR-Benutzer potenziellen Angriffen ausgesetzt wurden, war so schwerwiegend, dass der Programmanbieter eine aktualisierte Version der Software veröffentlichte, die die .ace-Dateiextraktion nicht mehr unterstützte. Sie veröffentlichten jedoch nie einen Patch für die damals aktuelle Version 5.61 (und älter), was impliziert, dass eine große Anzahl von WinRAR-Benutzern bis heute einem Risiko ausgesetzt ist.

Kurze Fakten zu den Cybergang-Exploits:

• Eine Cybercrime-Gang namens MuddyWater entwickelte den Exploit.
• Die neuesten Opfer sind Microsoft-Unternehmenskunden, die Satelliten- und Kommunikationsdienste anbieten.
• Die Bedrohung trat als Sammlung von kompromittierten .ace-Archivdateien auf, die nach der WinRar-Extraktion Malware auf einen PC übertragen können.

Die neuesten Opfer des WinRAR-Fehlers

Nach dem jüngsten Angriff auf Microsoft Windows-Unternehmenskunden, die Satelliten- und Kommunikationsdienste anbieten, ist der Exploit immer noch sehr aktiv. Im März 2019 entdeckte die Office 365 Advanced Threat Protection (ATP) -Division von Microsoft eine Sammlung schädlicher .ace-Dateien auf vielen Windows 10 Enterprise-basierten Computern von Unternehmenskunden. Es stellte sich heraus, dass die fraglichen Daten die CVE-2018-20250-Sicherheitsanfälligkeit ausnutzten, dh den Fehler, der mit der gefährdeten DLL-Datei verbunden ist, die für das Extrahieren von .ace-Archiven aus allen WinRAR-Versionen verantwortlich ist, Bar 5.70 (die aktuelle). Obwohl WinRAR v5.70 vor mehr als einem Jahr veröffentlicht hat, müssen viele Benutzer noch auf die neue, .ace-freie Version aktualisieren.

Der Hauptverdächtige - eine bekannte APT-Gruppe

Laut Microsoft war es MuddyWater, ein Advanced Persistent Threat (APT) -Team, das den Angriff im März 2019 initiierte. Die Hacker von MuddyWater sind dafür berüchtigt, Spear-Phishing-E-Mails an öffentliche Einrichtungen und Unternehmensverbände in den USA, in Europa und im Nahen Osten zu senden. Bisher hat die MuddyWater-Bande Angriffe in Jordanien, der Türkei, Saudi-Arabien, Aserbaidschan, dem Irak, Pakistan und Afghanistan durchgeführt, um nur einige zu nennen. Bei jedem Eingriff wurde Makro-Malware in einen Dokumentanhang einer Spam-E-Mail eingebettet. Das Öffnen der angehängten Datei führte zu einer Aufforderung, Makros zu aktivieren, während letztere die Ausführung von Remotecode ermöglichten.

Diesmal ist es allerdings ein bisschen anders

Es scheint, dass die neue Kampagne einen leicht modifizierten Ansatz aufweist. Anstatt eine mit Malware beladene Word-Datei anzulegen, hängen die Gauner stattdessen ein makrofreies Dokument an. Letztere enthält eine OneDrive-URL, die beim Öffnen ein Ass-Archiv mit einer anderen Word-Datei löscht. Im Gegensatz zum ursprünglichen Anhang enthält das neue Dokument zahlreiche böswillige Makros. Die Infektion ist erfolgreich, wenn der ahnungslose Empfänger:

1. Aktiviert Makros, wenn Sie dazu aufgefordert werden.
2. Akzeptiert einen Neustart des PCs, um eine fehlende DLL-Datei zu reparieren.

Wenn Sie erstere ausführen, wird die Malware-Nutzlast - eine Datei mit dem Namen dropbox.exe - in den Windows-Startordner verschoben. Durch Letzteres wird die Malware während des Systemstarts geladen und den Angreifern auf dem C & C-Server der Fernzugriff auf den entsprechenden Computer gewährt.

Die schiere Anzahl von WinRAR-Benutzern weltweit stellt einen raschen Übergang auf die aktuelle Version 5.70 vor Herausforderungen. Leider ist es immer noch die einzige WinRAR-Version im Umlauf, die gegen die Sicherheitsanfälligkeit CVE-2018-20250 immun ist.