Wygląda na to, że WinRar stał się celem oszustów. Wszystko przez odnalezioną niedawno lukę bezpieczeństwa, przez którą zaczęto dystrybuować złośliwe oprogramowanie. Sprawę nagłośnili badacze cyberbezpieczeństwa i zalecają pobranie najnowszej wersji popularnego programu. Innym ratunkiem jest po prostu usunięcie go z komputera, tego zapewne wiele osób nawet nie bierze pod uwagę. Zerknijmy na to wszystko nieco bliżej.
WinRAR z poważną luką – jak się uchronić przed atakiem?
Nie da się ukryć, że WinRAR to usługa dla szeregu użytkowników wręcz niezbędna. Oczywiście jest kilka równie interesujących alternatyw czy nawet obsługa tego znanego formatu bezpośrednio w systemie Windows 11 (jak jednak się okazuje, rozwiązanie nie działa zbyt dobrze). Sporo internautów przyzwyczaiło się jednak do tytułowego produktu i doskonale wiemy, iż zerwanie z takimi przyzwyczajeniami nie jest zbyt proste.
Tym bardziej więc warto poświęcić chwilę, by dowiedzieć się nieco na temat odkrytej luki bezpieczeństwa przez badaczy z Unit 42. Okazuje się, że umożliwia ona podejrzanym podmiotom na uruchomienie dowolnego kodu na docelowych punktach końcowych. Wystarczy tylko, iż ofiary uruchomią niestandardowy plik RAR w programie WinRar starszym niż ten oznaczony numerem 6.23. Dokładnie tak, zagrożone są wszystkie wersje usługi oprócz tej najnowszej. Niezwłocznie należy więc zaktualizować oprogramowanie.
Tytułowa luka została bowiem załatana wraz z debiutem aktualizacji 6.23, ale wciąż wiele osób nie zdecydowało się na zainstalowanie patcha. Gdy złośliwi aktorzy dowiedzieli się o usterce, to na portalu GitHub wstawili fragment kodu twierdząc, że to proof-of-concept (PoC) dla odkrytego błędu. Załączona paczka zawierała również plik tekstowy oraz demonstrację działania narzędzia w formie wideo.
Zainteresowane osoby myślały więc, że pobierają pliki mające tymczasowo naprawić występujący kłopot – nic bardziej mylnego. Aktywacja kodu pobierała złośliwe oprogramowanie VenomRAT, które ma tak naprawdę sporo zastosowań. Mowa chociażby o rejestrowaniu wszystkich naciśnięć klawiszy czy wyświetlaniu zainstalowanych aplikacji oraz aktywnych procesów. Poza tym hakerzy są w stanie wykorzystać narzędzie do wdrażania innych wirusów czy nawet kradzieży danych uwierzytelniających.
Jeśli więc spotkaliście się kilka miesięcy temu z PoC, to koniecznie zmieńcie hasła do wszystkich witryn oraz zaktualizujcie program WinRar. Nawet jeśli nic nie instalowaliście, to i tak pobierzcie najnowszą wersję usługi, by nie być narażonym na ewentualne wykorzystanie groźnej luki w przyszłości.
To niestety nie pierwsza sytuacja, gdy wykorzystano popularny serwis GitHub do implementacji złośliwego kodu i oszukania klientów. Warto więc być uważnym na każdym kroku.
Źródło: BleepingComputer, Unit 42 / Zdjęcie otwierające: WinRar, unsplash.com (@lazycreekimages)