今年2月曝光的WinRAR安全漏洞CVE-2018- 20250可借由压缩文件将恶意程序植入用户的开机程序,受到广大黑客的青睐,除了McAfee透露在CVE-2018-20250漏洞被公布的第一周就侦测到超过100种不同的攻击行动之外,其它安全企业也相继披露锁定该漏洞的攻击样本。
例如360威胁情报发现,在韩国出道的台湾女星叶舒华的压缩文件“10802201010叶舒华.rar”其实暗藏了远程控制后门程序OfficeUpdateService.exe,可用来掌控计算机的启动或关闭,窃取系统上的文件,或是盗录屏幕画面等。
另有一个RAR文件是锁定阿拉伯地区的用户,黑客所传播的“JobDetail.rar”文件看似含有一个描述工作机会的PDF档,但解压缩之后,它却在系统上植入了一个PowerShell后门程序,可再自远程服务器下载其它恶意程序。
至于FireEye最近发现的攻击样本“Scan_Letter_of_Approval.rar”则假冒为美国社会工作教育协会(CSWE)申请许可,但实则暗藏一个可与远程服务器交流的VBS后门程序。
还有一个“SysAid-Documentation.rar”文件锁定的攻击对象是以色列的军事产业,它伪装成来自IT服务管理软件企业SysAid,解压缩之后却在启动程序中植入了恶意程序SappyCache。
针对乌克兰的“zakon.rar”则是以乌克兰前任总统所发出的产官合作消息为诱饵,只要以WinRAR解压缩它就会在启动程序中植入Empire后门程序。
FireEye还发现一个有趣的攻击样本,该“leaks copy.rar”看似含有众多遭窃的电子邮件帐号及密码,但其实可能含有各种不同的恶意程序,从键盘侧录、密码窃取到远程访问木马等,该样本主要吸引的群体就是黑客。
研究人员警告,之所以能在短期内就能看到如此五花八门的WinRAR漏洞攻击样本,除了因为WinRAR拥有5亿的庞大用户之外,也因WinRAR缺乏自动更新机制,再加上CVE-2018-20250非常容易开采,相信未来会有更多的黑客继续利用该漏洞。
WinRAR已于2月28日发布修补该漏洞的WinRAR 5.70,WinRAR用户应尽快展开升级。