Trojan bankowy lub ransomware – wykorzystanie luki w WinRAR

Odkryte w lutym podatności w popularnym programie do archiwizacji są obecnie masowo, niezależnie od siebie stosowane przez przestępców. Potwierdzone są dwa ataki poprzez modyfikację folderu C:\Windows\Start Menu\Programs\Startup, przez co kod malware wykona się zaraz po uruchomieniu systemu i raczej nie zostanie zauważony. Złośliwy kod wykona się z uprawnieniami bieżącego użytkownika (czyli praca na koncie administratora może być problemem w przypadku infekcji).

Na blogu McAfee został opisany wektor ataku o stosunkowo prostym przebiegu. W Internecie znajduje się nielegalna wersja albumu znanej piosenkarki pod nazwą Ariana_Grande-thank_u,_next(2019)_[320].rar. Podczas rozpakowywania archiwum niezaktualizowaną wersją WinRAR do folderu z autostartem zostanie dodany payload. To trojan bankowy TrickBot, który potrafi wykradać hasła z popularnych programów. Na szczęście wykrywany jest przez sporą część antywirusów. Użytkownik może sądzić, że wszystko jest w porządku, bo archiwum oprócz złośliwego kodu zawiera także bezpieczne (według badaczy z McAfee) pliki MP3.

Z kolei firma Qihoo na Twitterze przedstawiła inny sposób. Wciąż jest spreparowany plik RAR, ale tym razem mamy do czynienia z ransomware. Do nazwy zaszyfrowanych danych zostanie dodane rozszerzenie .jnec. Cena klucza koniecznego do przywrócenia plików wynosi ~200 dolarów. Oczywiście nie zalecamy wspierania przestępców. Powinniśmy zawsze posiadać kopię zapasową przynajmniej najważniejszych danych (przechowywaną na oddzielnym nośniku, w tym w chmurze). Oczywiście oprogramowanie musi być aktualne. Wtedy opisywane ataki nas nie dotyczą.

–mg