WinRAR wordt nog steeds door hackers misbruikt om kwetsbaarheden aan te vallen

Volgens TechRadar ontstonden er voor het eerst zorgen over de beveiliging van de populaire bestandscompressiesoftware WinRAR begin 2022, toen hackers kwetsbaarheden in de software misbruikten om eindgebruikers aan te vallen.

Nu herhaalt de situatie zich. Er zijn nieuwe berichten dat een hacker met de bijnaam APT29, ook bekend als Cosy Bear/NOBELIUM, misbruik maakt van de WinRAR-kwetsbaarheid om overheidsinstanties aan te vallen.

Volgens Bleeping Computer heeft de Nationale Defensie- en Veiligheidsraad van Oekraïne (NDSC) APT29 waargenomen, die overheidsinstanties target met phishing-e-mails met de kwetsbaarheidscode CVE-2023-38831.

CVE-2023-38831 is een kwetsbaarheid in het WinRAR-bestandscompressieprogramma, ontdekt in april van dit jaar. Het stelt hackers in staat om .RAR- en .ZIP-archieven te maken die schadelijke code op de achtergrond kunnen uitvoeren, terwijl het slachtoffer de gedeelde inhoud van het archief bekijkt. De malware die door APT29 wordt verspreid, kan informatie stelen, wachtwoorden in browsers, vertrouwelijke documenten, systeemgegevens, enzovoort, bemachtigen.

APT29 zou overheidsorganisaties in Azerbeidzjan, Griekenland, Roemenië en Italië aanvallen. Slachtoffers ontvangen een nep-e-mail waarin een BMW te koop wordt aangeboden. Terwijl ze gefocust zijn op het bekijken van de afbeelding van de auto, wordt de malware ongemerkt geïnstalleerd.

De kwetsbaarheid CVE-2023-38831 treft WinRAR-softwareversies ouder dan 6.23. RAR Labs heeft een paar maanden geleden een patch uitgebracht waarin alle gebruikers worden geadviseerd deze versie te installeren.