[ziesell]

Zitat:

Malware inklusive: Angreifer verbreiten Fake-Exploit für Winrar-Schwachstelle

Ein gefälschter PoC-Exploit für eine im August bekannt gewordene Winrar-Schwachstelle ist auf Github aufgetaucht – er installiert Malware.



Sicherheitsforscher von Unit 42 haben auf Github einen gefälschten PoC-Exploit (Proof-of-Concept) für eine am 17. August veröffentlichte Winrar-Schwachstelle entdeckt, mit dem ein böswilliger Akteur mit dem Pseudonym whalersplonk versucht hat, eine unter der Bezeichnung Venomrat bekannte Schadsoftware zu verbreiten. Wie aus dem Bericht der Forscher hervorgeht, stellte der Angreifer das gefälschte PoC-Skript nur vier Tage nachdem die Sicherheitslücke CVE-2023-40477 von der Zero Day Initiative publiziert wurde, in einem Github-Repository bereit.

Statt tatsächlich die genannte Winrar-Schwachstelle auszunutzen, habe der gefälschte Code auf einem bekannten PoC-Skript für eine SQL-Injection-Schwachstelle in einer Anwendung namens Geoserver (CVE-2023-25157) basiert. Den Code habe der Angreifer derart manipuliert, dass dieser im Endeffekt gar nicht mehr funktionstüchtig gewesen sei. Jedoch habe der Akteur dem Skript auch ein paar bösartige Codezeilen hinzugefügt, die ordnungsgemäß ausgeführt wurden, bevor das Skript mit einer Fehlermeldung abbrach.

Python-Skript löst Infektionskette aus

Durch die hinzugefügten Codezeilen habe die Ausführung des Python-basierten Skriptes namens poc.py eine Infektionskette ausgelöst. Zunächst habe das Skript ein weiteres Batch-Skript erstellt, das wiederum ein verschlüsseltes Powershell-Skript heruntergeladen und ausgeführt habe. Letzteres habe schlussendlich die Venomrat-Malware auf dem Zielsystem installiert und eine geplante Aufgabe erstellt, um die Schadsoftware alle drei Minuten auszuführen.

Die Venomrat-Malware, bei der es sich um einen sogenannten Remote Access Trojaner handelt, soll daraufhin einen Keylogger bereitgestellt haben, der alle Tastatureingaben des Nutzers in einer Textdatei erfasst. Außerdem habe die Malware eine Verbindung zu einem Server hergestellt, über den der Angreifer aus der Ferne verschiedene Befehle ausführen konnte. Dazu gehörten der Upload der Tastatureingaben, das Einspielen von Konfigurationsänderungen für den Keylogger sowie der Abruf aller auf dem Zielsystem installierten Anwendungen oder der dort ausgeführten Prozesse.

Auch eine Anleitung war dabei

In dem Zip-Archiv, mit dem der vermeintliche Winrar-PoC ausgeliefert wurde, sei den Forschern zufolge auch eine Readme-Datei mit einer Anleitung sowie einem Link zu einem Demonstrationsvideo für die Verwendung des Skripts enthalten gewesen. Der gefälschte PoC-Code auf Github ist inzwischen nicht mehr verfügbar. Der Plattformbetreiber scheint das gesamte Benutzerkonto von whalersplonk entfernt zu haben. Wie weit das bösartige Skript tatsächlich verbreitet wurde, ist unbekannt. Jedoch hat das zugehörige Anleitungsvideo auf streamable.com inzwischen mehr als 300 Aufrufe erreicht.

[ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]