Microsoft alerta: puedes recibir emails que hackeen tu PC gracias al fallo de WinRAR

Check Point descubrió una vulnerabilidad en WinRAR que llevaba 14 años presente en el programa. Esta vulnerabilidad afectaba al archivo UNACEV2.DLL, usado para descomprimir archivos en formato .ACE. Sin embargo, WinRAR no podía parchearla porque había perdido el código fuente. Por ello, directamente eliminaron el DLL en la siguiente versión 5.70 que todos deberías tener instalada. Sin embargo, se están llevando a cabo multitud de ataques, y hasta la propia Microsoft ha tenido que alertar de ello.

El equipo de Office 365 alerta de que se están aprovechando de la vulnerabilidad de WinRAR

El equipo de protección avanzada de Office 365 ha descubierto archivos en formato ACE que buscan aprovecharse de la vulnerabilidad de WinRAR, ya que todavía hay cientos de millones de ordenadores que no tienen instalada la última versión que corrige el fallo (también podéis borrar el DLL manualmente para que estéis protegidos).

La vulnerabilidad, CVE-2018-20250, está usándose cada vez más por cibercriminales en todo el mundo desde que fue descubierta. Esta vulnerabilidad permite ubicar un archivo que contenga malware en cualquier parte de un ordenador Windows; incluyendo en la carpeta de Inicio para que se ejecute cada vez que se enciende el ordenador.

Uno de los grupos que la ha estado usando, y que ha sido detectado por Rex Plantado del equipo de investigación ATP de Office 365, es MuddyWater. Este grupo se sabe que lleva operando desde 2017, y ataca a personas en Oriente Medio, Europa y Estados Unidos. Para realizar ataques suelen modificar archivos que envían mediante correos de phishing haciéndose pasar por empresas y organismos de seguridad de diversos gobiernos.

El email que detectaron era uno que se hacía pasar por el del Ministerio de Relaciones Exteriores de Afganistán, y estaba dirigido a objetivos muy concreto relacionados con telecomunicaciones y servicio de mapas por satélite. El correo contenía un archivo Word con un enlace a otro documento almacenado en OneDrive. Si se pinchaba, se descargaba a su vez un segundo archivo Word con un macro malicioso que, en el caso de que el usuario ignorase las advertencias de seguridad, era posteriormente infectado.

El malware es persistente, y mantiene un script en la memoria

El macro a su vez también ejecuta un script de PowerShell que recoge información del ordenador infectado, le asigna un ID único, y lo manda a un servidor remoto. Ese script se usa también para aprovechar la vulnerabilidad de WinRAR para descargar un archivo ACE con tres fotos JPEG, y colocar un archivo malicioso llamado Dropbox.exe en la carpeta de inicio cuando se intenta descomprimir.

A partir de ahí, el malware alerta al usuario de que tiene que reiniciar el ordenador porque falta un DLL. Esto es debido a que la vulnerabilidad permite colocar un archivo en cualquier carpeta, pero no puede ejecutarlo. Por ello, al reiniciar el PC y haber colocado el archivo en la carpeta Inicio, el malware se ejecuta con cada arranque.

Una vez reiniciado el PC, el atacante mantiene de manera persistente una puerta trasera a través de PowerShell que le permite tomar el control total de ordenador e instalar malware aún más potente; y todo de manera remota. El script incluso no llega a escribirse en el disco duro o SSD, sino que se mantiene en la memoria para dificultar aún más su detección.

El artículo Microsoft alerta: puedes recibir emails que hackeen tu PC gracias al fallo de WinRAR escrito por Alberto García se publicó en ADSLZone.