Киберпреступники продолжают активно эксплуатировать уязвимость в популярном архиваторе WinRAR, обнаруженную в минувшем феврале. Спустя всего несколько дней после известия о баге и публикации PoC-эксплоита специалисты в области кибербезопасности заметили первую вредоносную кампанию, использующую данную проблему для внедрения вредоносного ПО на компьютеры пользователей. За прошедший период эксперты McAfee обнаружили более сотни эксплоитов для этой уязвимости, и их число продолжает расти.

Напомним, речь идет об уязвимости обхода каталога во включенной в состав WinRAR библиотеке UNACEV2.DLL, используемой для распаковки файлов в формате ACE. Данная уязвимость предоставляет возможность извлечь файлы из архива в нужную злоумышленникам папку, а не назначенную пользователем.

В рамках одной из кампаний злоумышленники распространяли пиратскую копию альбома американской исполнительницы Арианы Гранде, которую в настоящее время только 11 антивирусов распознают как вредоносное ПО.

Вредоносный RAR архив (Ariana_Grande-thank_u,_next(2019)_[320].rar) наряду с несколькими безопасными MP3 файлами содержит вредоносный исполняемый файл, который сохраняется в папку автозагрузки и автоматически выполняется при каждой загрузке системы.

Хотя разработчики уже выпустили исправленную версию WinRAR ( 5.70 beta 1 ), уязвимость все еще представляет ценность для киберпреступников, поскольку многие пользователи так и не обновились до новой версии. Основная проблема, полагают специалисты, кроется в отсутствии функции автоматического обновления архиватора. В этой связи пользователям рекомендуется установить свежую версию WinRAR и не открывать файлы, полученные от неизвестных источников.

Источник: securitylab.ru