Вымогатель использует брешь в WinRAR

Эксперты обнаружили зловред-вымогатель, который эксплуатирует обнаруженную в январе уязвимость WinRAR. По словам аналитиков, платить выкуп бесполезно — из-за ошибки в коде расшифровать пораженные файлы не смогут даже сами организаторы кампании.

Специалисты назвали свою находку JNEC.a. Вымогатель, оказавшийся вайпером, распространяется через зараженный RAR-архив с PNG-файлом внутри. Если жертва распаковывает содержимое, на экране появляется сообщение об ошибке. Сама картинка отредактирована таким образом, что производит впечатление поврежденной. Все это лишь отвлекает внимание пользователя: открытие архива приводит к заражению.

Эксперты отмечают оригинальный способ контакта, который изобрели операторы кампании. Зловред генерирует последовательность из букв и цифр и просит жертву зарегистрировать соответствующий почтовый адрес в сервисе Gmail. Предполагается, что после получения денег вымогатели отправят на этот ящик ключ для расшифровки.

На самом деле платить преступникам смысла нет, и в данном случае дело не в этической составляющей. Как пояснил эксперт Майкл Гиллеспи (Michael Gillespie), создатели JNEC.a «накосячили с применением ключей», сделав расшифровку невозможной.

Уязвимость CVE-2018-20250, на которой построена атака, позволяет злоумышленникам выгружать вредоносное ПО в произвольные папки на компьютерах жертв. По словам специалистов, которые обнаружили брешь в январе этого года, она присутствовала в коде WinRAR на протяжении 19 лет.

В настоящий момент для уязвимости есть два патча — один подготовили разработчики архиватора, второй выпустили специалисты сторонней ИБ‑компании. Кроме того, проблему устранили в обновленном WinRAR 5.70.

В свою очередь, преступники создали уже более 100 эксплойтов на базе этой бреши. Все они появились в первую неделю после публикации PoC-кода.

Источник threatpost.ru

Posted in Новости.