WinRAR软件曝出零日漏洞，被用于传播恶意软件以窃取资金

最近的网络安全观察中发现，自 2023 年 4 月以来，流行的 WinRAR 归档软件中最近修补的安全漏洞已被用作零日漏洞。

根据中国网络安全行业门户极牛网(GeekNB.com)的梳理，该漏洞编号为 CVE-2023-38831，允许攻击者欺骗文件扩展名，从而可以启动存档中包含的恶意脚本，这些脚本伪装成看似无害的图像或文本文件。该漏洞已在 2023 年 8 月 2 日发布的版本 6.23 中得到解决，并顺带修复了 CVE-2023-40477 漏洞。

在 2023 年 7 月发现的攻击中，通过 Forex Station 等交易相关论坛分发的特制 ZIP 或 RAR 存档文件已被用来传播各种恶意软件系列，如 DarkMe、GuLoader 和 Remcos RAT。恶意软件在感染设备后，网络犯罪分子会从账户中提取资金。

因此，当受害者单击图像时，会执行文件夹中存在的批处理脚本，然后使用该脚本启动下一阶段，即一个 SFX CAB 存档，旨在提取和启动其他文件。同时，脚本还会加载诱饵图像，以免引起怀疑。

极牛攻防实验室表示，CVE-2023-38831 是由打开 ZIP 存档中的文件时出现处理错误引起的。武器化的 ZIP 档案已分布在至少 8 个热门交易论坛上，因此受害者的地理位置很广泛，而且攻击并不针对特定国家或行业。

目前尚不清楚谁是利用 WinRAR 漏洞进行攻击的幕后黑手。也就是说，DarkMe 是由 EvilNum 组织发起的 Visual Basic 木马，绿盟科技于 2022 年 9 月首次记录，该木马与针对欧洲在线赌博和交易服务的代号为 DarkCasino 的网络钓鱼活动有关。

使用此方法还提供了一种名为 GuLoader（又名 CloudEye）的恶意软件，该恶意软件随后尝试从远程服务器获取 Remcos RAT。