Через дыры в WinRAR распространяется троян VenomRAT
PoC опубликован на GitHub, а его задача — заразить пользователей вредоносом VenomRAT. На фейковый эксплойт указала команда Unit 42 (принадлежит Palo Alto Networks). Согласно записям, PoC был выложен 22 августа. Речь идёт об эксплойте для уязвимости CVE-2023-40477. С помощью этой бреши атакующие могли выполнить команды на Windows-компьютере, для чего достаточно было заставить жертву открыть специально подготовленный архив.
Важно отметить, что при выполнении вместо запуска PoC происходит создание batch-скрипта, загружающего зашифрованный PowerShell-скрипт и выполняющий его на хосте. Последний скачивает зловред VenomRAT и создаёт задачу с выполнением каждые три минуты.
Юлия Парфенова, менеджер направления «контроль целостности» Efros Defence Operations, ООО «Газинформсервис» рассказала, как защититься от трояна:
"Многие атаки включают в себя добавление или изменение задач в планировщике. При наличии такой функции защиты, как контроль целостности, эти изменения будут обнаружены при первой же проверке, и администраторы будут уведомлены об этом. А значит, атаку удастся остановить. Всегда стоит помнить о том, что защита информационной инфраструктуры должна быть выстроена на всех периметрах сети".