Согласно исследованиюPalo Alto Networks, киберзлоумышленник, известный под ником “whalersplonk”, воспользовался уязвимостью удаленного выполнения кода (Remote Code Execution, RCE) в WinRAR ( CVE-2023-40477 ), которая была обнародована в августе. Злоумышленник быстро собрал убедительный, но поддельный PoC-эксплоит (Proof of Concept) для ошибки, который разместил в репозитории GitHub, зная, что уязвимость привлечет внимание – у WinRAR более 500 млн. пользователей по всему миру.
Проблема CVE-2023-40477 связана с недостаточно проверкой данных, предоставленных пользователем, в процессе работы с томами восстановления. В августе WinRAR устранила недостаток с выпуском версии 6.23.
По мнению исследователей, PoC был правдоподобным, поскольку он был основан на общедоступном PoC-коде для уязвимости SQL-инъекции (SQL injection) в приложении GeoServer. После открытия эксплоит запускал цепочку заражения, которая закончилась установкой полезной нагрузки VenomRAT на компьютеры жертв, дающий возможность хакеру возможность управлять зараженной системой без ведома пользователя, собирать информацию о системе, обходить антивирусные решения и загружать дополнительные модули для расширения своих возможностей.
На первый взгляд атака может показаться частью нападений на исследователей безопасности с помощью шпионских инструментов, но специалисты Palo Alto считают, что на самом деле это было скорее шуткой для преступника.