Los investigadores de seguridad de
Google dicen que han encontrado evidencia de que hackers respaldados por los
gobiernos de Rusia y China están explotando una vulnerabilidad ya parcheada en
WinRAR, la popular herramienta de archivo shareware para Windows.
La vulnerabilidad de WinRAR,
descubierta por primera vez por la empresa de ciberseguridad Group-IB a
principios de este año e identificada como CVE-2023-38831, permite a los
atacantes ocultar scripts maliciosos en archivos que se hacen pasar por
imágenes o documentos de texto aparentemente inofensivos.
Group-IB dijo que la vulnerabilidad
fue explotada como un día cero (ya que el desarrollador no tuvo tiempo para
corregir el error antes de que fuera explotado) en abril para comprometer los
dispositivos de al menos 130 comerciantes.
Rarlab, la empresa que desarrolla la herramienta
lanzó una versión actualizada de WinRAR (versión 6.23) el 2 de agosto para
corregir la vulnerabilidad.
A pesar de esto, el Grupo de Análisis
de Amenazas (TAG) de Google dijo esta semana que sus investigadores han observado que múltiples grupos de hackers respaldados por gobiernos están
explotando la vulnerabilidad de seguridad, señalando que «muchos
usuarios» que no han actualizado la aplicación siguen siendo vulnerables.
En una investigación compartida con
TechCrunch antes de su publicación, TAG asegura que ha observado múltiples
campañas que explotan la vulnerabilidad de día cero de WinRAR. La investigación
vincula a grupos de hackers respaldados por los gobiernos de Rusia y China.
Sandworm
atacando activamente
Uno de estos grupos incluye una
unidad de inteligencia militar rusa llamada Sandworm, conocida por sus
ciberataques destructivos, como el ataque de ransomware NotPetya que lanzó en 2017 y que afectó principalmente
a los sistemas informáticos de Ucrania e interrumpió la red eléctrica del país.
Los investigadores de TAG observaron
a Sandworm explotando la vulnerabilidad de WinRAR a principios de septiembre
como parte de una campaña de correo electrónico malicioso que se hacía pasar
por una escuela ucraniana de entrenamiento de guerra con drones. Los correos
electrónicos contenían un enlace a un archivo malicioso que explotaba
CVE-2023-38831, que cuando se abría instalaba malware para robar información en
la máquina de la víctima y robaba contraseñas del navegador.
Por otra parte, TAG dice que observó
a otro notorio grupo de hackers respaldado por Rusia, identificado como APT28 y
comúnmente conocido como Fancy Bear, utilizando el día cero de WinRAR para
atacar a usuarios en Ucrania bajo la apariencia de una campaña de correo
electrónico haciéndose pasar por el Centro Razumkov, un tanque de pensamiento
de políticas públicas en el país. Fancy Bear es mejor conocido por su operación
de hackeo y filtración contra el Comité Nacional Demócrata en 2016.
Los hallazgos de Google siguen a un
descubrimiento anterior de la empresa de inteligencia sobre amenazas Cluster25,
que aseguró la semana pasada que también había observado a hackers rusos
explotando la vulnerabilidad WinRAR como una campaña de phishing diseñada para recopilar credenciales de
sistemas comprometidos. Cluster25 dijo que evaluó con “confianza baja a media”
que Fancy Bear estaba detrás de la campaña.
China al
ataque
Google agregó que sus investigadores
encontraron evidencia de que el grupo de hackers respaldado por China, conocido
como APT40, que el gobierno de Estados Unidos ha vinculado anteriormente con el
Ministerio de Seguridad del Estado de China, también abusó de la vulnerabilidad
de día cero de WinRAR como parte de una campaña de phishing dirigida a usuarios
ubicados en en Papúa Nueva Guinea. Estos correos electrónicos incluían un
enlace de Dropbox a un archivo que contenía el exploit CVE-2023-38831.
Los investigadores de TAG advierten
que la explotación actual del error de WinRAR «destaca que los exploits
para vulnerabilidades conocidas pueden ser muy efectivos», ya que los
atacantes utilizan velocidades lentas de parcheo para su beneficio.
7-Zip vs WinRar vs WinZIP – ¿Cuál es la mejor herramienta de compresión de archivos?
Fuente: TechCrunch