Фейковый эксплойт для дыры в WinRAR распространяет троян VenomRAT на GitHub

Екатерина Быстрова 21 Сентября 2023 - 09:08

...

Фейковый эксплойт для дыры в WinRAR распространяет троян VenomRAT на GitHub

Неизвестный киберпреступник распространяет фальшивый демонстрационный эксплойт (proof-of-concept — PoC) для недавно пропатченной уязвимости в WinRAR. PoC опубликован на GitHub, а его задача — заразить пользователей вредоносом VenomRAT.

На фейковый эксплойт указала команда Unit 42 (принадлежит Palo Alto Networks). Согласно записям, PoC был выложен 22 августа 2023 года.

Речь идёт об эксплойте для уязвимости CVE-2023-40477, о которой мы сообщали в конце августа. С помощью этой бреши атакующие могли выполнить команды на Windows-компьютере, для чего достаточно было заставить жертву открыть специально подготовленный архив.

Брешь затрагивала версии архиватора до 6.23. В настоящее время разработчики уже устранили проблему, но это не помешало злоумышленнику с ником «whalersplonk» начать распространять вредоносные программы под видом PoC.

Для убедительности киберпреступник добавил в свой архив файл README с инструкцией и даже Streamable-видео, в котором демонстрируется, как нужно пользоваться PoC. Всё для людей, как говорится.

Исследователи из Unit 42 нашли в архиве фейковый Python-скрипт, который на деле представляет собой модифицированный общедоступный эксплойт для дыры в GeoServer под идентификатором CVE-2023-25157.

При выполнении вместо запуска PoC происходит создание batch-скрипта, загружающего зашифрованный PowerShell-скрипт и выполняющий его на хосте. Последний скачивает зловред VenomRAT и создаёт задачу с выполнением каждые три минуты.

VenomRAT реализует в системе функциональность кейлогера: записывает нажатия клавиш и сохраняет их в текстовом файле локально. Далее вредонос соединяется с командным центром (C2) для получения команд (предусмотрены всего девять):

plu_gin — активирует плагин в реестре.
HVNCStop — завершает процесс «cvtres».
loadofflinelog — отправляет записанные кейлогером данные из директории %APPDATA%.
save_Plugin — сохраняет плагин в реестре под аппаратным идентификатором.
runningapp — отображает запущенные процессы.
keylogsetting — обновляет файл с записанными кейлогером данными.
init_reg — удаляет подключи в реестре Software под аппаратным идентификатором.
Po_ng — измеряет время PING к командному серверу.
filterinfo — составляет список установленных программ и активных процессов.

Напомним, в конце августа злоумышленники использовали другую дыру в WinRAR для атак на трейдеров.

Следующая главная новость »

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!

Екатерина Быстрова 16 Февраля 2026 - 12:24

macOS Трояны Домашние пользователи

Русская «матрёшка»: вредоносная программа прячется слоями на macOS

Пользователей macOS атакует новая изощрённая схема социальной инженерии с говорящим названием Matryoshka. Как выяснили специалисты Intego Antivirus Labs, злоумышленники прячут вредоносный код в «слоях» обфускации, почти как вложенные друг в друга матрёшки. Цель — криптокошельки и деньги пользователей.

Сценарий простой и коварный. Пользователь ошибается в адресе сайта — например, вместо comparisons[.]org вводит comparisions[.]org. Разница минимальная, но домен уже принадлежит атакующим.

Дальше срабатывает цепочка переадресаций через систему распределения трафика (TDS), и вместо ожидаемого сайта человек видит фальшивое сообщение об ошибке. А рядом — «инструкция по исправлению проблемы».

Жертве предлагают скопировать специальную команду и вставить её в Терминал macOS. Фактически пользователь сам запускает заражение.

По словам исследователей, новая версия схемы ClickFix использует «вложенные уровни обфускации», чтобы затруднить анализ. Вредоносный код распаковывается прямо в памяти устройства, а не просто лежит файлом на диске. Это усложняет работу антивирусов и автоматических песочниц.

Кроме того, используются сжатые обёртки и специальные механизмы сетевого взаимодействия, которые затрудняют статический анализ.

После запуска скрипт не просто собирает данные браузера — он вмешивается в работу популярных приложений для аппаратных кошельков.

Trezor Suite: здесь злоумышленники действуют грубо. Если программа обнаружена, её процесс пытаются завершить, удалить приложение и скачать вредоносную версию на замену.

Ledger Live: подход более «хирургический». Внутри легитимного пакета приложения подменяется архив app.asar и связанные метаданные. Внешне всё выглядит как обычно, но внутри уже встроен бэкдор.

Когда данные собраны и кошельки скомпрометированы, пользователю показывают фальшивое сообщение:

«Ваш Mac не поддерживает это приложение. Попробуйте переустановить или скачать версию для вашей системы».

Это нужно, чтобы снизить подозрения и выиграть время. Пользователь думает, что столкнулся с обычной несовместимостью, в то время как его цифровые активы уже могут выводиться злоумышленниками.

Атака не использует сложных эксплойтов, она играет на невнимательности. Достаточно одной опечатки и готовности выполнить «полезную команду» в Терминале.

Главное правило остаётся прежним: никогда не вставляйте в Терминал команды с сайтов, которые предлагают «быстрое исправление ошибки», особенно если вы перешли на них по случайной ссылке или из-за опечатки.

Secrets Management 2026: где на самом деле сливаются ключи? Регистрируйтесь на эфир AM Live!