Uno de los programas más usados en Windows por parte de los usuarios de España es WinRAR. Pese a que existen aplicaciones más completas como 7Zip, lo cierto es que este es uno de los software más extendidos y usados por parte de los internautas. Ahora, se ha descubierto una vulnerabilidad en el programa que podría abrir la puerta a los hackers.
Tal y como informa Bleeping Computer, unos investigadores de la compañía Palo Alto Networks han descubierto que ciertos hackers están intentando explotar una grave vulnerabilidad en WinRAR. Esta permite a atacantes que la exploten ejecutar código arbitrario en cualquier dispositivo que esté conectado a una red (es decir, lo que se conoce como un endpoint).
Si bien esta falla ya fue descubierta por la Zero Day Initiative a principios de junio y solucionada por parte de la compañía en agosto, poco después de su descubrimiento se descubrió a una serie de atacantes usándola para distribuir un peligroso malware.
Cuidado con este malware
Todo comienza poco después de junio de este año, cuando se descubre la vulnerabilidad en versiones anteriores a la 6.23 de WinRAR (la que actualmente ya no cuenta con dicho error). Investigadores de la firma Palo Alto Networks descubrieron un fragmento de código subido a GitHub, que afirmaba ser una prueba de concepto para la vulnerabilidad CVE-2023-40477.
Una prueba de concepto o proof-of-concept (por sus siglas en inglés, PoC) no es más que una metodología para comprobar cómo se pueden explotar vulnerabilidades del día cero. Se usan estas PoC para precisamente intentar entender cómo se explotan estas vulnerabilidades y así descubrir su origen, para solucionarlas.
El fragmento de código subido a GitHub por un usuario para la vulnerabilidad en cuestión que se suponía era una PoC no era más que un engaño, ya que incluía un script PowerShell modificado que descargaba el malware VenomRAT. Este ejecutable también estaba camuflado por otros archivos, como un Léame o un vídeo explicativo.
Este malare es capaz de registrar las pulsaciones de teclas y saber cuántas aplicaciones hay instaladas en un ordenador. Incluso es capaz de determinar qué procesos hay activos en estos momentos en el PC. El malware servía para poder robar credenciales y saber qué programas se están ejecutando, además de para distribuir más cargas de software malicioso.
[Los routers de TP-Link, en peligro: los hackers usan una vulnerabilidad para realizar ataques]
Los investigadores descubrieron que la infraestructura referente al atacante (es decir, su modus operandi) ya estaba presente y formada antes del intento de explotar la vulnerabilidad de WinRAR, lo que es indicativo de que están en activo y que intentarán aprovechar más fallas de otras aplicaciones. La cuenta que subió la PoC a GitHub ya ha sido deshabilitada.
Este suceso es un gran recordatorio para todos los usuarios que usen WinRAR, ya que es vital que mantengan actualizado el software para evitar infecciones de malware. Y es que es muy normal intentar engañar a desarrolladores para distribuir malware a través de plataformas como GitHub, por lo que si usas WinRAR o usas a menudo GitHub, ten mucho cuidado a la hora de descargar según qué archivos.