Ces pirates volent des identifiants sur les PC grâce à cette faille dans WinRAR (CVE-2023-38831)
Des cybercriminels prorusses ont mis au point une campagne de phishing pour exploiter une faille de sécurité découverte dans WinRAR, dans l'objectif de collecter des identifiants sur les machines compromises. Faisons le point sur cette menace.
L'entreprise Cluster25 a publié un nouveau rapport qui évoque cette campagne de phishing : "L'attaque implique l'utilisation de fichiers d'archive malveillants qui exploitent la vulnérabilité récemment découverte affectant le logiciel de compression WinRAR dans les versions antérieures à la version 6.23 et répertoriée sous le nom de CVE-2023-38831."
Cette vulnérabilité a été découverte au mois d'août 2023 et elle permet d'exécuter du code arbitraire sur la machine cible par la simple ouverture d'un fichier contenu dans l'archive compressée. Comme le précise le site du NIST, cette vulnérabilité a été activement exploitée entre avril et août 2023.
Dans le cas présent, l'archive diffusée par les pirates contient un fichier PDF malveillant, qui, lors de son ouverture, entraine l'exécution d'un script Batch. Ensuite, ce script Batch est utilisé pour appeler PowerShell et exécuter d'autres commandes. Ceci permet de déployer un reverse shell sur l'hôte compromis, ce qui offre un accès distant à l'attaquant.
Dans cette archive RAR, le fichier PDF et le répertoire ont le même nom. Ce n'est pas un hasard : c'est ce qui permet d'exploiter la vulnérabilité. Lorsque le fichier PDF est ouvert, le contenu du dossier portant le même nom est exécuté également. Ainsi, ce fichier contient le script Batch.
Ensuite, toujours à l'aide de commandes PowerShell, des données sont exfiltrées de la machine à partir du site légitime webhook[.]site. En l'occurrence, les commandes PowerShell ont un but bien précis : voler les identifiants sur la machine, notamment ceux enregistrés dans les navigateurs Google Chrome et Microsoft Edge.
Si vous utilisez WinRAR, vous devez impérativement le mettre à jour pour vous protéger contre cette vulnérabilité. Par ailleurs, la dernière version de Windows 11 prend en charge le format RAR, en plus du format ZIP, ce qui peut permettre de se passer de cette application.