Неизвестный киберпреступник распространяет фальшивый демонстрационный эксплойт (proof-of-concept — PoC) для недавно пропатченной уязвимости в WinRAR.
PoC опубликован на GitHub, а его задача — заразить пользователей вредоносом VenomRAT. На фейковый эксплойт указала команда Unit 42 (принадлежит Palo Alto Networks). Согласно записям, PoC был выложен 22 августа. Речь идёт об эксплойте для уязвимости CVE-2023-40477, пишет Anti-Malware. С помощью этой бреши атакующие могли выполнить команды на Windows-компьютере, для чего достаточно было заставить жертву открыть специально подготовленный архив.
Важно отметить, что при выполнении вместо запуска PoC происходит создание batch-скрипта, загружающего зашифрованный PowerShell-скрипт и выполняющий его на хосте. Последний скачивает зловред VenomRAT и создаёт задачу с выполнением каждые три минуты.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» рассказала, как защититься от трояна:
–Многие атаки включают в себя добавление или изменение задач в планировщике. При наличии такой функции защиты, как контроль целостности, эти изменения будут обнаружены при первой же проверке, и администраторы будут уведомлены об этом. А значит, атаку удастся остановить. Всегда стоит помнить о том, что защита информационной инфраструктуры должна быть выстроена на всех периметрах сети.