Оказалось, что недавний апдейт WinRAR 6.23 исправлял не только RCE CVE-2023–40477, по которой пока тихо, но и активно эксплуатируемую с апреля 2023 Extension Spoofing CVE-2023–38831. Через эксплуатацию уязвимости распространяли различные семейства вредоносных программ, включая DarkMe, GuLoader и Remcos RAT. Уязвимость позволяла злоумышленникам создавать вредоносные архивы .RAR и .ZIP, в которых отображались, казалось бы, безобидные файлы, такие как изображения JPG (.jpg), текстовые файлы (.txt) или документы PDF (.pdf). Когда пользователь открывал документ, выполнялся скрипт, который устанавливает вредоносное ПО на устройство. Атаки таргетировали на криптотрейдеров. Подробности в блоге Group-IB.
Уведомление: Для Extension Spoofing в WinRAR (CVE-2023-38831) на GitHub-е выложили PoC | Александр В. Леонов
Уведомление: В прошедшую пятницу, 25 августа, мы записали пилотный эпизод ток-шоу с рабочим названием "Прожектор по ИБ" | Александр В. Леонов