Un cybercriminale ha pubblicato su GitHub il codice di un “proof-of-concept” (PoC) per la vulnerabilità scoperta in WinRAR a fine agosto. Si trattava in realtà di exploit fake che nascondeva il malware VenomRAT. Il repository è stato successivamente eliminato dalla piattaforma.
Attenzione al codice open source
Su GitHub è possibile trovare numerosi progetti open source. Come già accaduto in passato, nel codice del presunto exploit per la vulnerabilità CVE-2023-40477 di WinRAR era nascosto un malware. In realtà, il PoC non permetteva di sfruttare il bug del popolare software, ma era basato sul codice del PoC per la vulnerabilità CVE-2023-25157 individuata in GeoServer e nascondeva lo script che avvia la catena di infezione.
Il bug in WinRAR è stato rivelato pubblicamente il 17 agosto. I file dell’exploit fasullo sono stati caricati su GitHub il 21 agosto da un certo whalersplonk. Il PoC è uno script Python (poc.py
) inserito all’interno dell’archivio CVE-2023-40477-main.zip
.
Il file README.md
nell’archivio ZIP tentava di ingannare l’utente, spiegando come usare lo script. Il cybercriminale ha rimosso dal codice i commenti relativi alla vulnerabilità CVE-2023-25157 di GeoServer. Quando eseguito creava uno script batch che scarica uno script PowerShell da un server remoto.
Quest’ultimo viene avviato automaticamente e copia nella directory %APPDATA%\Drivers\
l’eseguibile Windows.Gaming.Preview.exe
. Crea inoltre un’attività pianificata per l’esecuzione del file ogni tre minuti. L’eseguibile in questione è una variante di VenomRAT.
Il malware raccoglie varie informazioni sul sistema, tra cui i processi attivi e l’elenco delle applicazioni installate, ma soprattutto registra i tasti premuti (keylogger) per rubare le credenziali di login. Contro virus della tastiera come questo è consigliabile munirsi di un antivirus efficace. Come detto, il repository con i file del PoC è stato eliminato da GitHub.