En febrero pasado, un grupo de investigadores de seguridad de la firma Check Point reveló una vulnerabilidad crítica en WinRAR que expuso los datos de aproximadamente 500 millones de usuarios durante un período de 19 años. En ese momento, se dijo que el bug había sido solucionado en enero de este año, y que permitió durante mucho tiempo ejecutar malware de forma remota en los ordenadores de las víctimas.
Aunque la vulnerabilidad data de hace muchos años y está relacionada con un formato poco utilizado y parchado llamado ACE, un nuevo informe de McAfee ha revelado que los hackers continúan explotando activamente el error desde que se hizo público.
A través de una publicación en el blog de la firma, Craig Schmugar, investigador de McAfee, reveló que se han detectado más de 100 ataques donde los hackers engañan a los usuarios para que instalen malware en sus ordenadores. En este sentido, explicó:
Un ejemplo reciente se extrae de una copia pirata del exitoso álbum de Ariana Grande “Thank U, Next” con un nombre de archivo de “Ariana_Grande-thank_u, _next (2019) _ [320] .rar (…) Cuando se utiliza una versión vulnerable de WinRAR para extraer el contenido de este archivo, se crea una carga maliciosa en la carpeta de inicio detrás de la escena. El Control de cuentas de usuario (UAC) no se aplica, por lo que no se muestra ninguna alerta al usuario. La próxima vez que se reinicia el sistema, se ejecuta el malware.
A pesar de que los investigadores revelaron que los hackers utilizan mayormente el álbum Thank U, Next, de la cantante de pop Ariana Grande, también han utilizado imágenes para descarga como incentivo para que las víctimas extraigan archivos maliciosos en sus ordenadores.
Por su parte, un informe de 360 Threat Intelligence Center confirmó que los hackers utilizan archivos comprimidos etiquetados como archivos de imagen para atraer a los usuarios a su descarga. Con el fin de mitigar este tipo de ataques, WinRAR lanzó una actualización que elimina definitivamente el soporte para el formato ACE y el archivo UNACEV2.DLL que incluye la vulnerabilidad.