ثغرة أمنية مزيفة في WinRAR على GitHub تصيب المستخدمين ببرنامج Venom RAT. قام ممثل ضار بإصدار دليل مفهوم (PoC) مزيف لاستغلال ثغرة أمنية في WinRAR تم الكشف عنها مؤخرًا على GitHub بهدف إصابة المستخدمين الذين قاموا بتنزيل الكود ببرنامج Venom RAT الضار.
“تم بناء دليل المفهوم المزيف لاستغلال ثغرة الأمان في WinRAR على نص دليل المفهوم المتاح للجمهور والذي استغل ثغرة حقن SQL في تطبيق يسمى GeoServer، والتي يتم تتبعها باسم CVE-2023-25157،” قال روبرت فالكوني، باحث في وحدة 42 في Palo Alto Networks.
في حين أن أدلة المفهوم المزيفة أصبحت وسيلة موثقة جيدًا لاستهداف مجتمع البحث، فقد اشتبهت شركة الأمن السيبراني في أن الجهات الفاعلة المهددة تستهدف بشكل انتهازي المحتالين الآخرين الذين قد يتبنون أحدث الثغرات الأمنية في ترسانتهم.
لم يعد حساب GitHub الذي استضاف المستودع. والذي يحمل اسم whalersplonk، قابلًا للوصول. يقال إن دليل المفهوم قد تم الالتزام به في 21 أغسطس 2023. بعد أربعة أيام من الإعلان عن الثغرة الأمنية علنًا.
تتعلق ثغرة الأمان CVE-2023-40477 بمشكلة تحقق غير صحيح في أداة WinRAR يمكن استغلالها لتحقيق تنفيذ الكود عن بُعد (RCE) على أنظمة Windows. وقد تم معالجته الشهر الماضي من قبل المبرمجين في الإصدار WinRAR 6.23، إلى جانب ثغرة أمنية أخرى يتم استغلالها بنشاط والتي يتم تتبعها باسم CVE-2023-38831.
يكشف تحليل المستودع عن نص Python ومقطع فيديو Streamable يوضح كيفية استخدام الاستغلال. جذب الفيديو 121 مشاهدة في المجموع.
لا يقوم نص Python. بدلاً من تشغيل دليل المفهوم، بالوصول إلى خادم بعيد (checkblacklistwords[.]eu) لاسترداد ملف قابل للتنفيذ باسم Windows.Gaming.Preview.exe. وهو أحد متغيرات Venom RAT. يأتي مع قدرات على سرد العمليات الجارية وتلقي الأوامر من خادم يتم التحكم فيه من قبل الممثل الضار (94.156.253[.]109).
يظهر فحص أكثر دقة للبنية التحتية للهجوم أن الجهة الفاعلة المهددة أنشأت نطاق checkblacklistwords[.]eu قبل 10 أيام على الأقل من الإعلان العلني عن الثغرة الأمنية. ثم سرعان ما استفادت من خطورة الخطأ لجذب ضحايا محتملين.
وقال فالكوني: “حاول ممثل ضار مجهول اختراق الأفراد من خلال إصدار دليل مفهوم مزيف بعد الإعلان العلني عن الثغرة الأمنية، لاستغلال ثغرة RCE في تطبيق معروف جيدًا”.
“هذا الدليل المفهوم مزيف ولا يستغل ثغرة الأمان في WinRAR. مما يوحي بأن الممثل حاول الاستفادة من RCE المرغوبة بشدة في WinRAR لتعريض الآخرين للخطر.”
الوقاية:
- لا تقم بتنزيل أو تشغيل أدلة المفهوم من مصادر غير موثوقة.
- تأكد من تحديث WinRAR إلى الإصدار 6.23 أو أحدث.
- استخدم برنامج حماية من الفيروسات والبرمجيات الضارة محدثًا.
- كن حذرًا عند فتح المرفقات أو النقر فوق الروابط في رسائل البريد الإلكتروني غير المرغوب فيها.
إذا كنت تعتقد أنك قد تكون مصابًا ببرنامج Venom RAT. فقم بإجراء فحص كامل لجهازك باستخدام برنامج حماية من الفيروسات والبرمجيات الضارة. إذا تم العثور على أي تهديدات، فقم بإزالتها على الفور.
ثغرة أمنية مزيفة في WinRAR على GitHub تصيب المستخدمين ببرنامج Venom RAT. تابعً على Facebook لقراءة المزيد من المحتوى الحصري الذي ننشره.