今年2月曝光的WinRAR安全漏洞CVE-2018-20250可藉由压缩文件案将恶意软件植入用户的开机程序,受到广大黑客的青睐,除了McAfee透露在CVE-2018-20250漏洞被公布的第一周就侦测到逾100种不同的攻击行动之外,其它资安业者也相继披露锁定该漏洞的攻击样本。例如360威胁情报发现,在韩国出道的台湾女星叶舒华的压缩文件案「10802201010叶舒华.rar」其实暗藏了远程控制后门程序OfficeUpdateService.exe,可用来掌控计算机的启动或关闭,窃取系统上的档案,或是盗录屏幕画面等。另有一个RAR档案是锁定阿拉伯地区的使用者,黑客所散布的「JobDetail.rar」档案看似含有一个描述工作机会的PDF档,但解压缩之后,它却在系统上植入了一个PowerShell后门程序,可再自远程服务器下载其它恶意软件。至于FireEye最近发现的攻击样本「Scan_Letter_of_Approval.rar」则假冒为美国社会工作教育协会(CSWE)申请许可,但实则暗藏一个可与远程服务器交流的VBS后门程序。
还有一个「SysAid-Documentation.rar」档案锁定的攻击对象是以色列的军事产业,它伪装成来自IT服务管理软件业者SysAid,解压缩之后却在启动程序中植入了恶意软件SappyCache。针对乌克兰的「zakon.rar」则是以乌克兰前任总统所发出的产官合作讯息为诱饵,只要以WinRAR解压缩它就会在启动程序中植入Empire后门程序。FireEye还发现一个有趣的攻击样本,此一「leaks copy.rar」看似含有众多遭窃的电子邮件账号及密码,但其实可能含有各种不同的恶意软件,从键盘侧录、密码窃取到远程访问木马等,该样本主要吸引的族群就是黑客。研究人员警告,之所以能在短期内就能看到如此五花八门的WinRAR漏洞攻击样本,除了因为WinRAR拥有5亿的庞大用户之外,也因WinRAR缺乏自动更新机制,再加上CVE-2018-20250非常容易开采,相信未来会有更多的黑客继续利用该漏洞。WinRAR已于2月28日释出修补此一漏洞的WinRAR 5.70,WinRAR用户应尽速展开升级。内文来源至:http://www.cafes.org.tw/info.asp