Utilizan vulnerabilidad en Winrar para atacar a empresas y gobiernos

En este artículo adaptamos el que nos traen nuestros compañeros del laboratorio de ESET Latinoamérica desde el blog WeLiveSecurity, donde se analiza una vulnerabilidad en WinRAR (el popular software de compresión de archivos).

Esta vulnerabilidad fue descubierta por el investigador israelí Danor Cohen y hay pruebas que demuestran que está siendo aprovechada en una campaña de malware dirigida a gobiernos, organizaciones internacionales y grandes empresas.

winrarlogo

El fallo de seguridad permite que los atacantes creen un archivo ZIP que aparenta contener un archivo como, por ejemplo, una foto, pero que en realidad puede contener un archivo ejecutable malicioso, lo que podría provocar una infección del sistema. De esta forma, un atacante puede comprimir fácilmente cualquier tipo de malware con WinRAR y luego hacer pasar este archivo como un fichero ZIP aparentemente inofensivo.

La vulnerabilidad fue bautizada por Cohen como “spoofing de extensión de archivo de WinRAR”, y según los investigadores de IntelCrawler, está presente en todas las versiones de este popular software, incluyendo la 5.1. La explotación de esta vulnerabilidad se produce cuando WinRAR comprime un archivo y crea nuevas propiedades, incluyendo la función de “cambiar el nombre del archivo”. Al alterar esta información, el ZIP informará que contiene algo diferente a lo que realmente alberga.

De acuerdo a IntelCrawler, los atacantes están aprovechándose de esta vulnerabilidad desde el 24 de marzo para realizar una campaña de ciberespionaje dirigida a corporaciones aeroespaciales, empresas militares subcontratadas, embajadas y otras grandes empresas. Una de las muestras era un email de spam que decía provenir del Consejo Europeo de Asuntos Legales, y en el que se adjuntaba un archivo ZIP malicioso y protegido con contraseña, la cual se incluía en el cuerpo del email.

Siendo WinRAR una aplicación bastante extendida, cabe esperar que encontremos más casos de este tipo incluso dirigidos a todo tipo de usuarios y no solamente a grandes empresas y gobiernos. Por eso, y hasta que el fabricante solucione esta vulnerabilidad, es importante que desconfiemos de aquellos adjuntos comprimidos con esta herramienta que no hayamos solicitado y, sobre todo, no los abramos por mucho que su contenido pueda parecer inofensivo.

Josep Albors

10 años de malware para Mac OS X