Фейковый эксплойт для дыры в WinRAR распространяет троян VenomRAT на GitHub
Главная » Новости
Security Vision Next Generation SGRCУзнайте, как на первой в России платформе с ИИ построено комплексное решение для задач стратегической безопасности. Security Vision SGRC объединяет ресурсно-сервисную модель и десятки методик для моделирования угроз, оценки рисков, непрерывности бизнеса, аудита и комплаенса. NG SGRC подходит для компаний с требованиями кастомизации благодаря Low-code конструкторам платформы и мультиарендности. Для среднего и малого бизнеса предусмотрены дополнительные варианты SGRC Basic и SGRC SaaS.→ Ознакомиться
Реклама, 18+. ООО «Интеллектуальная Безопасность», ИНН 7719435412

Фейковый эксплойт для дыры в WinRAR распространяет троян VenomRAT на GitHub

Екатерина Быстрова 21 Сентября 2023 - 09:08
...
Фейковый эксплойт для дыры в WinRAR распространяет троян VenomRAT на GitHub

Неизвестный киберпреступник распространяет фальшивый демонстрационный эксплойт (proof-of-concept — PoC) для недавно пропатченной уязвимости в WinRAR. PoC опубликован на GitHub, а его задача — заразить пользователей вредоносом VenomRAT.

На фейковый эксплойт указала команда Unit 42 (принадлежит Palo Alto Networks). Согласно записям, PoC был выложен 22 августа 2023 года.

Речь идёт об эксплойте для уязвимости CVE-2023-40477, о которой мы сообщали в конце августа. С помощью этой бреши атакующие могли выполнить команды на Windows-компьютере, для чего достаточно было заставить жертву открыть специально подготовленный архив.

Брешь затрагивала версии архиватора до 6.23. В настоящее время разработчики уже устранили проблему, но это не помешало злоумышленнику с ником «whalersplonk» начать распространять вредоносные программы под видом PoC.

Для убедительности киберпреступник добавил в свой архив файл README с инструкцией и даже Streamable-видео, в котором демонстрируется, как нужно пользоваться PoC. Всё для людей, как говорится.

Исследователи из Unit 42 нашли в архиве фейковый Python-скрипт, который на деле представляет собой модифицированный общедоступный эксплойт для дыры в GeoServer под идентификатором CVE-2023-25157.

При выполнении вместо запуска PoC происходит создание batch-скрипта, загружающего зашифрованный PowerShell-скрипт и выполняющий его на хосте. Последний скачивает зловред VenomRAT и создаёт задачу с выполнением каждые три минуты.

VenomRAT реализует в системе функциональность кейлогера: записывает нажатия клавиш и сохраняет их в текстовом файле локально. Далее вредонос соединяется с командным центром (C2) для получения команд (предусмотрены всего девять):

  1. plu_gin — активирует плагин в реестре.
  2. HVNCStop — завершает процесс «cvtres».
  3. loadofflinelog — отправляет записанные кейлогером данные из директории %APPDATA%.
  4. save_Plugin — сохраняет плагин в реестре под аппаратным идентификатором.
  5. runningapp — отображает запущенные процессы.
  6. keylogsetting — обновляет файл с записанными кейлогером данными.
  7. init_reg — удаляет подключи в реестре Software под аппаратным идентификатором.
  8. Po_ng — измеряет время PING к командному серверу.
  9. filterinfo — составляет список установленных программ и активных процессов.

Напомним, в конце августа злоумышленники использовали другую дыру в WinRAR для атак на трейдеров.

Следующая главная новость »
AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.

Цены на теневой пробив растут: до 30 тыс. за досье и 37 тыс. за геолокацию
Яков Шпунт 26 Ноября 2025 - 15:30
Утечки информацииУмышленные утечки информацииКража данных Общее BI.ZONE
Цены на теневой пробив растут: до 30 тыс. за досье и 37 тыс. за геолокацию

Средняя стоимость персональных данных продолжила расти: за 2025 год она увеличилась на 4,5%. При этом каждое четвертое предложение на рынке является мошенническим. Более чем в 21% случаев продавцы обещают предоставить полное досье на выбранного человека.

Такие данные приводит «Коммерсантъ» со ссылкой на исследование BI.ZONE Digital Risk Protection, основанное на анализе 3,5 тыс. объявлений на теневых площадках.

Руководитель подразделения BI.ZONE Дмитрий Кирюшкин отметил, что рост цен во многом связан с увеличением доли комплексных «пакетных» досье, которые предлагаются по более высоким тарифам. В то же время каждое четвертое объявление — мошенническое: продавцы просто перестают выходить на связь после получения оплаты.

Эксперты выделяют три основных сегмента теневого рынка пробива. Базовая проверка — например, установление ФИО и даты рождения по номеру телефона или адресу электронной почты — стоит 100–500 рублей. Самый массовый сегмент в диапазоне 1 000–1 500 рублей предлагает уже значительно более подробные досье, включая сведения из закрытых реестров.

Цена «досье под ключ», которое может включать данные о зарегистрированных компаниях, пересечении границы, банковских операциях и других сведениях, достигает 30 тыс. рублей и более. При этом в этом сегменте наблюдается значительный разброс цен.

Самыми дорогими услугами, по оценке BI.ZONE, остаются нелегальные данные о геолокации пользователя и детализация звонков и СМС. Журнал вызовов стоит от 22 тыс. рублей, разовое определение местоположения («вспышка») — около 30 тыс., а определение геолокации при каждом звонке обойдется в среднем в 37 тыс. рублей.

По оценкам F6, стоимость таких услуг может быть ещё выше — до 120 тыс. рублей. Эксперты также отмечают, что в 2025 году цены выросли на 91% после падения в 2024 году.

Операторы МегаФон и Т2 связывают повышение стоимости нелегального пробива с усилением мер по защите данных. Сегодня выгрузка информации сотрудниками либо невозможна, либо максимально затруднена, а рабочие зоны находятся под постоянным видеонаблюдением. Это позволяет оперативно пресекать попытки получить доступ к данным.

В то же время основатель сервиса DLBI Ашот Оганесян отмечает, что большинство владельцев ресурсов, занимавшихся пробивом и находившихся в России, по разным причинам прекратили работу. Остались площадки, расположенные за рубежом. А зарубежные сервисы, включая Telegram, реагируют на запросы о блокировке ботов-пробивщиков и каналов, торгующих базами данных, довольно «расслабленно».

AM LiveПодписывайтесь на канал "AM Live" в Telegram, чтобы первыми узнавать о главных событиях и предстоящих мероприятиях по информационной безопасности.
Большая часть транспортных систем будет отнесена к КИИ
Новость
Большая часть транспортных систем будет отнесена к КИИ
Под блокировку Роскомнадзора попали уже 260 VPN
Новость
Под блокировку Роскомнадзора попали уже 260 VPN
ИТ-парк и Security Vision объединят усилия для развития ИБ в Татарстане
Новость
ИТ-парк и Security Vision объединят усилия для развития ИБ в...

RSS: Новости на портале Anti-Malware.ru

Свидетельство о регистрации СМИ ЭЛ № ФС 77 - 68398, выдано федеральной службой по надзору в сфере связи, информационных технологий и массовых коммуникаций (Роскомнадзор) 27.01.2017
Разрешается частичное использование материалов на других сайтах при наличии ссылки на источник. Использование материалов сайта с полной копией оригинала допускается только с письменного разрешения администрации.

© ООО "АМ Медиа", 2005-2025. Все права защищены.