Diễn đàn hacker mũ trắng (WhiteHat) cho biết, kịch bản tấn công nêu trên xuất hiện từ tháng 8/2023. Hacker đã phát động chiến dịch phát tán mã độc lợi dụng lỗ hổng trong WinRar. WinRar được xem một phần mềm nén/giải nén “quốc dân” với hơn 500 triệu người dùng trên toàn thế giới.
Đáng chú ý trong cùng một tháng, WinRar đã dính 2 lỗ hổng nghiêm trọng CVE-2023-38831 và CVE-2023-40477 đều có điểm CVSS là 7,8/10 với đầu vào tấn công là con đường phishing (tấn công giả mạo).
Theo WhiteHat, nhìn bên ngoài, các tệp nén chứa mã độc của tin tặc không khác gì một tệp vô hại (ảnh dạng JPG (.jpg), tệp văn bản (.txt) hoặc tài liệu PDF (.pdf nhưng ngay khi nạn nhân click đúp vào tệp, lỗ hổng CVE-2023-38831 sẽ âm thầm khởi chạy một tập lệnh khác để cài đặt phần mềm độc hại trên thiết bị. Đồng thời, một tài liệu an toàn trùng tên với tệp nén cũng sẽ được mở lên để tránh nghi ngờ.
Tới đây, hacker đã có được quyền truy cập từ xa vào thiết bị của nạn nhân và có thể đánh cắp tiền điện tử từ tài khoản của họ. Theo các nhà nghiên cứu, đã có đến 130 người là nạn nhân của chiến dịch tấn công và 8 diễn đàn bị tin tặc phát tán link kèm tệp độc hại.
Còn với CVE-2023-40477, WinRAR xử lý file nén độc hại vừa được tải về sẽ dẫn đến lỗi tràn bộ đệm xuất phát từ việc xử lý Recovery Volume (tính năng giúp tạo các tệp tin dự phòng có khả năng sửa chữa và phục hồi dữ liệu bị hỏng trong tệp tin nén), tạo cơ hội cho kẻ tấn công thực thi mã tùy ý trên tất cả các hệ thống mà WinRAR được cài đặt.
Theo các chuyên gia WhiteHat, đến nay vẫn chưa có báo cáo nào về các cuộc tấn công sử dụng hai lỗ hổng này tại Việt Nam. Nhưng với số lượng người dùng khổng lồ của WinRar, việc hacker tạo ra nhiều làn sóng tấn công lợi dụng 2 CVE này chỉ là chuyện một sớm một chiều, đặc biệt là khi PoC của 2 lỗ hổng đã được công bố.
Nếu chưa thể cập nhật phần mềm WinRar của mình, WhiteHat khuyến cáo người dùng nên cẩn trọng khi tải xuống các tệp không rõ nguồn gốc cũng như bật tường lửa để bảo vệ bản thân khỏi tin tặc.