WinRAR-gebruikers zijn de afgelopen weken het doelwit van verschillende groepen aanvallers geweest en beveiligingsbedrijf FireEye verwacht dat de aanvallen alleen maar zullen toenemen. De aanvallers maken gebruik van een lek in WinRAR waardoor er malware op het systeem kan worden geïnstalleerd.

Zodra een gebruiker met een kwetsbare WinRAR-versie een kwaadaardig ACE-bestand met een RAR-extensie opent wordt er kwaadaardige code in de Startup-map van Windows geplaatst. Hierbij wordt User Account Control (UAC) omzeild. De gebruiker krijgt dan ook geen waarschuwing te zien. De code in de Startup-up map wordt bij een herstart van het systeem automatisch uitgevoerd en infecteert de computer met malware.

Het kwaadaardige ACE-bestand maakt misbruik van een kwetsbaarheid in de populaire archiveringssoftware die in versies voor WinRAR 5.70 aanwezig is. FireEye heeft aanvallen gezien die tegen de Israëlische militaire industrie waren gericht. Ook doen de aanvallers zich voor als het Council on Social Work Education en de voormalige Oekraïense president Viktor Yanukovych. Bij een andere aanval werd een kwaadaardig ACE-bestand gebruikt dat zogenaamd gestolen inloggegevens en creditcarddata zou bevatten.

Via de malafide archiefbestanden proberen de aanvallers backdoors, remote administration tools (RATs) en wachtwoordstelers te installeren. “Vanwege het grote aantal WinRAR-gebruikers, het ontbreken van een automatische updatefunctie en het gemak waarmee deze kwetsbaarheid is te misbruiken, verwachten we dat meer aanvallers de komende dagen hier misbruik van zullen maken”, aldus Dileep Kumar Jallepalli van FireEye. Gebruikers krijgen het advies om naar WinRAR versie 5.70 te updaten.

Image