Un ciberdelincuente ha difundido un falso exploit de prueba de concepto (PoC) en GitHub, aprovechando una vulnerabilidad en WinRAR que ya había sido corregida. Su objetivo era infectar a quienes descargaran el PoC con el malware VenomRAT. El equipo de investigadores de la Unidad 42 de Palo Alto Networks fue quien descubrió este falso exploit. Informaron que el atacante subió el código malicioso a GitHub el 21 de agosto de 2023. Aunque el ataque ya no está activo, resalta una vez más los peligros de descargar PoC desde GitHub y ejecutarlos sin un escrutinio adicional para asegurarse de que sean seguros.

Este PoC falso se relaciona con la vulnerabilidad CVE-2023-40477, la cual permite la ejecución de código arbitrario cuando se abren archivos RAR especialmente diseñados en versiones de WinRAR anteriores a la 6.23. La vulnerabilidad de WinRAR fue descubierta por la Iniciativa Día Cero de Trend Micro el 8 de junio de 2023, pero no se hizo pública hasta el 17 de agosto de 2023. WinRAR solucionó el problema con la versión 6.23, lanzada el 2 de agosto.

Un actor de amenazas que se hace llamar “whalersplonk” actuó rápidamente, tan solo cuatro días después, para aprovechar la oportunidad y propagar malware disfrazado como un código de explotación para esta nueva vulnerabilidad de WinRAR.

“Red teamer” advierte sobre PoC malicioso en Twitter

Este atacante incluyó un resumen en el archivo README y un video en Streamable que mostraba cómo utilizar el PoC, lo que añadió credibilidad al paquete malicioso. No obstante, la Unidad 42 informa que el script Python del PoC falso es en realidad una modificación de un exploit disponible públicamente para otra vulnerabilidad, CVE-2023-25157, una falla crítica de inyección SQL que afecta a GeoServer.

PoC real (izquierda) y script modificado (derecha) (Unidad 42)

Al ejecutarlo, en lugar de explotar la vulnerabilidad, el PoC crea un script por lotes que descarga y ejecuta un script de PowerShell codificado en el host. Este último script descarga el malware VenomRAT y establece una tarea programada para ejecutarlo cada tres minutos.

Cuando VenomRAT se ejecuta en un dispositivo Windows, activa un registrador de teclas que graba todas las pulsaciones de teclas y las almacena en un archivo de texto local. Luego, el malware establece comunicación con un servidor C2, desde el cual recibe nueve comandos diferentes para ejecutar en el dispositivo infectado, que van desde la activación de complementos hasta la eliminación de subclaves en el registro de software. Debido a que este malware puede utilizarse para implementar otras amenazas y robar credenciales, es esencial que cualquier persona que haya ejecutado este PoC falso cambie sus contraseñas en todos los sitios y plataformas en los que tenga cuentas.

La línea de tiempo proporcionada por la Unidad 42 sugiere que el actor de amenazas preparó la infraestructura para el ataque y la carga útil mucho antes de que se hiciera pública la vulnerabilidad de WinRAR. Esto plantea la posibilidad de que este mismo atacante pueda aprovechar futuras vulnerabilidades para difundir PoC engañosos sobre diversas fallas cuando llamen la atención de la comunidad de seguridad.

Las PoC falsas en GitHub son un tipo de ataque conocido en el que los ciberdelincuentes apuntan tanto a otros delincuentes como a investigadores de seguridad. A finales de 2022, se descubrieron miles de repositorios en GitHub que promovían exploits PoC fraudulentos para diversas vulnerabilidades. Algunos de estos repositorios contenían malware, scripts de PowerShell maliciosos, descargadores de robo de información oculta y herramientas de Cobalt Strike. Más recientemente, en junio de 2023, atacantes que se hacían pasar por investigadores de ciberseguridad lanzaron varios exploits falsos de día 0 dirigidos a sistemas Linux y Windows, que contenían malware.

fuente:bleepingcomputer