-15% na nową książkę sekuraka: Wprowadzenie do bezpieczeństwa IT. Przy zamówieniu podaj kod: 10000

Trojan bankowy lub ransomware – wykorzystanie luki w WinRAR

31 marca 2019, 21:51 | W biegu | komentarzy 7

Odkryte w lutym podatności w popularnym programie do archiwizacji są obecnie masowo, niezależnie od siebie stosowane przez przestępców. Potwierdzone są dwa ataki poprzez modyfikację folderu C:\Windows\Start Menu\Programs\Startup, przez co kod malware wykona się zaraz po uruchomieniu systemu i raczej nie zostanie zauważony. Złośliwy kod wykona się z uprawnieniami bieżącego użytkownika (czyli praca na koncie administratora może być problemem w przypadku infekcji).

Na blogu McAfee został opisany wektor ataku o stosunkowo prostym przebiegu. W Internecie znajduje się nielegalna wersja albumu znanej piosenkarki pod nazwą Ariana_Grande-thank_u,_next(2019)_[320].rar. Podczas rozpakowywania archiwum niezaktualizowaną wersją WinRAR do folderu z autostartem zostanie dodany payload. To trojan bankowy TrickBot, który potrafi wykradać hasła z popularnych programów. Na szczęście wykrywany jest przez sporą część antywirusów. Użytkownik może sądzić, że wszystko jest w porządku, bo archiwum oprócz złośliwego kodu zawiera także bezpieczne (według badaczy z McAfee) pliki MP3.

Z kolei firma Qihoo na Twitterze przedstawiła inny sposób. Wciąż jest spreparowany plik RAR, ale tym razem mamy do czynienia z ransomware. Do nazwy zaszyfrowanych danych zostanie dodane rozszerzenie .jnec. Cena klucza koniecznego do przywrócenia plików wynosi ~200 dolarów. Oczywiście nie zalecamy wspierania przestępców. Powinniśmy zawsze posiadać kopię zapasową przynajmniej najważniejszych danych (przechowywaną na oddzielnym nośniku, w tym w chmurze). Oczywiście oprogramowanie musi być aktualne. Wtedy opisywane ataki nas nie dotyczą.

–mg

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Kupek

    Napisalibyście jeszcze do której wersji WinRAR-a jest ta podatność. Ja mam wersję 5.60 (x64).

    Odpowiedz
    • Michał

      Wygląda na to, że Pana program jest podatny, ponieważ najnowsza wersja to 5.70

      Odpowiedz
  2. zero one

    Znowu WinRAR? :-O
    To jkaś zorganizowana akcja? ;-)

    Odpowiedz
  3. Eddard Stark

    Tej Ariany to nie znam, ale premiera nowego sezonu Gry o tron tu mogą być niezłe żniwa ?

    Odpowiedz

Odpowiedz na Michał