Luka w popularnym programie do kompresowania plików WinRAR została ujawniona 20 lutego przez firmę Check Point. Od tamtego czasu pojawiło się ponad 100 exploitów umożliwiających umieszczenie złośliwych programów w folderze startowym Windows, albo w dowolnym innym miejscu na dysku. Producent WinRAR-a już w styczniu opublikował zabezpieczoną wersję, jednak trzeba ją pobrać ręcznie, co znacznie ułatwia zadanie przestępcom. Z WinRAR-a korzysta ponad pół miliarda użytkowników na całym świecie, z których większość ma zainstalowaną jedną ze starszych wersji, które są podatne na atak.
Possibly the first malware delivered through mail to exploit WinRAR vulnerability. The backdoor is generated by MSF and written to the global startup folder by WinRAR if UAC is turned off.https://t.co/bK0ngP2nIy
IOC:
hxxp://138.204.171.108/BxjL5iKld8.zip
138.204.171.108:443 pic.twitter.com/WpJVDaGq3D— RedDrip Team (@RedDrip7) February 25, 2019
