Bi.zone dijo que el hombre lobo de papel entregó las hazañas en julio y agosto a través de archivos adjuntos a correos electrónicos que se hacen pasar por empleados del Instituto de Investigación All-Rusia. El objetivo final era instalar malware que le dio acceso a los sistemas infectados de papel a los sistemas infectados. Si bien los descubrimientos de ESET y Bi.Zone eran independientes entre sí, se desconoce si los grupos que explotan las vulnerabilidades están conectados o adquiridos el conocimiento de la misma fuente. Bi.zone especuló que el hombre lobo de papel puede haber adquirido las vulnerabilidades en un foro de crimen de mercado oscuro. Eset dijo que los ataques que observó siguieron tres cadenas de ejecución. Una cadena, utilizada en ataques dirigidos a una organización específica, ejecutó un archivo de DLL malicioso oculto en un archivo utilizando un método conocido como secuestro de COM que hizo que se ejecutaran ciertas aplicaciones como Microsoft Edge. Parecía esto: ilustración de la cadena de ejecución que instala el agente mítico. Crédito: Ilustración ESET de la cadena de ejecución que instala el agente mítico. Crédito: ESET el archivo DLL en el Archivo Decryentado Código de shell de integrado, que continuó para recuperar el nombre de dominio para la máquina actual y compararlo con un valor codificado. Cuando los dos coincidían, el Código de Shell instaló una instancia personalizada del marco de explotación del agente mítico. Una segunda cadena ejecutó un ejecutable malicioso de Windows para entregar una carga útil final que instala Snipbot, una pieza conocida de malware rom. Bloqueó algunos intentos de analizar forense al finalizar cuando se abrió en una máquina virtual o Sandbox vacía, una práctica común entre los investigadores. Una tercera cadena hizo uso de otras dos piezas conocidas de malware RomCom, una conocida como Rustyclaw y la otra garra de fusión. Las vulnerabilidades de Winrar se han explotado previamente para instalar malware. Una vulnerabilidad de ejecución de código de 2019 estuvo bajo una amplia explotación en 2019 poco después de ser reparada. En 2023, un día cero de Winrar fue explotado durante más de cuatro meses antes de que se detectaran los ataques. Además de su masiva base de usuarios, Winrar es un vehículo perfecto para difundir malware porque la utilidad no tiene un mecanismo automatizado para instalar nuevas actualizaciones. Eso significa que los usuarios deben descargar e instalar parches por su cuenta. Además, ESET dijo que las versiones de Windows de las utilidades de la línea de comandos unrar.dll y el código fuente de UNRAR portátil también son vulnerables. La gente debería mantenerse alejada de todas las versiones de Winrar antes de 7.13, que, en el momento en que esta publicación se puso en marcha, era la más actual. Tiene soluciones para todas las vulnerabilidades conocidas, aunque dada el flujo aparentemente interminable de los días cero de Winrar, no es una gran seguridad.
Deja una respuesta