ИБ-компания Sangfor Technologies обнаружила серию фишинговых атак, в ходе которых эксплуатируется уязвимость в WinRAR. Приманкой для жертв служат документы, касающиеся геополитических вопросов Белоруссии и России, а отправителем электронных писем выступает лицо, выдающее себя за государственного служащего.
Атака осуществляется с использованием недавно обнаруженной уязвимости WinRAR CVE-2023-38831(CVSS: 7.8). Атака срабатывает, если пользователь открывает вредоносный архив с помощью уязвимой версии WinRAR. Фишинговые письма и вложенные файлы тщательно подготовлены, чтобы обойти системы фильтрации электронной почты. Имена архивов и содержание документов-приманок адаптированы для различных целей.
Пример фишингового письма
Вредоносный скрипт Powershell был оптимизирован на протяжении множества итераций, что увеличивает степень обфускации и помогает обойти статическое обнаружение. Команды операторов загружают и устанавливают
Бэкдоры могут быть внедрены в программное обеспечение как на этапе его разработки, так и уже в ходе его эксплуатации (например, через вредоносное ПО). Они могут быть использованы как для шпионажа, так и для удаленного управления системой или устройством.