Una reciente investigación ha descubierto que una vieja vulnerabilidad en WinRaR llamada CVE-2018-20250 no solo permite tomar el control total de la computadora, sino que además permite instalar un malware más potente a través de la terminal de PowerShell.

Este exploit en WinRaR que fue descubierto hace un año por los investigadores de seguridad de Check Point Software afecta el archivo UNACEV2.DLL y sigue afectando a las computadoras con Windows y las versiones de los últimos 19 años de WinRaR.

WinRaR como medio

De acuerdo a la fuente, el archivo UNACEV2.DLL que es utilizado para descomprimir archivos en formato .ACE permite colocar un malware en cualquier lugar de la computadora después de ser extraído por WinRAR.

 

Luego, un documento adjunto le pide al usuario que descargue otro documento ubicado desde un enlace de OneDrive sin macros incluidas para evitar la detección del antivirus.

 

¿Cómo funciona?

Al hacer clic y descargar el archivo comprimido con el segundo documento de Word, que contiene un botón de ‘Página siguiente’ y que al presionar muestra que falta un archivo DLL determinado y pide el reinicio de la máquina.

Microsoft deja de vender ebooks y reembolsará a los usuarios por compras anteriores

Además de ello, la fuente menciona que al realizar el reinicio se habilita una macro oculta en el archivo word que contiene una serie de comandos de PowerShell que recopila información sobre el sistema con una ID única y la envía a un servidor remoto.

Un archivo oculto

Un mecanismo que recupera el archivo ACE malicioso con el exploit para CVE-2018-20250, y que elimina el archivo dropbox.exe original y crear otro archivo malicioso con el mismo nombre que al ejecutarse le otorga acceso al atacante de la computadora .

Aunque los investigadores sugieren que este archivo malicioso se ubicaría en una carpeta de inicio, Microsoft plantea la posibilidad de que este archivo sea ubicado en carpetas SMB conocidas o predeterminadas.

¿Cómo ocurrió?

Según los investigadores esta falla tiene el sello del grupo APT MuddyWater, ya que fue distribuido a través de un un correo electrónico de ‘phishing’ supuestamente proveniente del Ministerio de Asuntos Exteriores (MAE) de la República Islámica de Afganistán. 

Una firma característica de este grupo de MuddyWater que dirige sus ataques a los usuarios del Medio Oriente, Europa y los Estados Unidos.

Más en TekCrispy