今年2月曝光的WinRAR安全漏洞 CVE-2018-20250可藉由压缩档案将恶意程式植入使用者的开机程序,受到广大骇客的青睐,除了McAfee透露在CVE-2018-20250漏洞被公布的第一周就侦测到逾100种不同的攻击行动之外,其它资安业者也相继披露锁定该漏洞的攻击样本。
例如360威胁情报发现,在韩国出道的台湾女星叶舒华的压缩档案「10802201010叶舒华.rar」其实暗藏了远端控制后门程式OfficeUpdateService.exe,可用来掌控电脑的启动或关闭,窃取系统上的档案,或是盗录萤幕画面等。
另有一个RAR档案是锁定阿拉伯地区的使用者,骇客所散布的「JobDetail.rar」档案看似含有一个描述工作机会的PDF档,但解压缩之后,它却在系统上植入了一个PowerShell后门程式,可再自远端伺服器下载其它恶意程式。
至于F ireEye最近发现的攻击样本「Scan_Letter_of_Approval.rar」则假冒为美国社会工作教育协会(CSWE)申请许可,但实则暗藏一个可与远端伺服器交流的VBS后门程式。
还有一个「SysAid-Documentation.rar」档案锁定的攻击对象是以色列的军事产业,它伪装成来自IT服务管理软体业者SysAid,解压缩之后却在启动程序中植入了恶意程式SappyCache。
针对乌克兰的「zakon.rar」则是以乌克兰前任总统所发出的产官合作讯息为诱饵,只要以WinRAR解压缩它就会在启动程式中植入Empire后门程式。
FireEye还发现一个有趣的攻击样本,此一「leaks copy.rar」看似含有众多遭窃的电子邮件帐号及密码,但其实可能含有各种不同的恶意程式,从键盘侧录、密码窃取到远端存取木马等,该样本主要吸引的族群就是骇客。
研究人员警告,之所以能在短期内就能看到如此五花八门的WinRAR漏洞攻击样本,除了因为WinRAR拥有5亿的庞大用户之外,也因WinRAR缺乏自动更新机制,再加上CVE-2018-20250非常容易开采,相信未来会有更多的骇客继续利用该漏洞。
WinRAR已于2月28日释出修补此一漏洞的WinRAR 5.70,WinRAR用户应尽速展开升级。