Proof-of-Concept-Exploit für WinRAR-Lücke bringt VenomRAT-Malware mit

Eine als hohes Risiko eingestufte Sicherheitslücke, die bereits in Angriffen missbraucht wurde, haben die Entwickler mit der WinRAR-Version 6.23 Mitte August geschlossen. Jetzt haben IT-Sicherheitsforscher angeblichen Proof-of-Concept-Code entdeckt, der das Ausnutzen der Schwachstelle demonstrieren soll. Der ist jedoch für eine ganz andere Sicherheitslücke und liefert die Malware VenomRAT aus, die er auf dem Rechner verankert.

In ihrer Analyse schreiben die IT-Analysten von Palo Altos Unit42, dass bösartige Akteure unter dem Pseudonym whalersplonk vier Tage nach der öffentlichen Meldung der Lücke mit der CVE-Nummer CVE-2023-40477 ein gefälschtes Proof-of-Concept-Skript in ihr Github-Repository eingestellt haben.

Gefälschter Proof-of-Concept: IT-Sicherheitsforscher wohl nicht im Visier

Die IT-Forensiker gehen davon aus, dass whalersplonk es nicht gezielt auf IT-Sicherheitsforscher abgesehen hat. Sie hätten viel mehr den Eindruck, dass die Angreifer opportunistisch handelten und andere Betrüger kompromittieren wollten, die neue Schwachstellen bei ihren kriminellen Machenschaften missbrauchen.

Aufgrund der zeitlichen Abfolge der Ereignisse gehen die Unit42-Forscher davon aus, dass die bösartigen Akteure die Infrastruktur und den Schadcode unabhängig vom gefälschten PoC erstellt haben. "Sobald die Schwachstelle öffentlich bekannt wurde, handelten die Akteure schnell, um aus der Codeschmuggel-Schwachstelle in einer beliebten Anwendung Kapital zu schlagen. WinRAR hat nach eigenen Angaben weltweit über 500 Millionen Nutzer", schreiben sie dazu.

Proof of Concept für andere Schwachstelle umgebaut

Der angebotene PoC-Exploit basiert auf einem zuvor erhältlichen Proof-of-Concept für eine Sicherheitslücke in der Software Geoserver mit dem CVE-Eintrag CVE-2023-25157. Beim Ausführen führt der nicht den Missbrauch der WinRAR-Lücke vor, sondern startet eine Infektionskette, an deren Ende die Installation der Schadsoftware VenomRAT steht.

Während die Zero Day Initiative die WinRAR-Lücke am 17. August gemeldet hat, trägt das Archiv mit dem Malware-PoC einen Zeitstempel vom 21. August. Inzwischen wurde das Github-Repository entfernt. Der gefälschte PoC war ein Python-Skript. Dem lag eine README.md-Datei bei, die mit einer vermeintlichen Anleitung zur Nutzung des Skripts potenzielle Opfer zum Ausführen des Codes zu bewegen versucht. Ein darin verlinktes Video kam auf mehr als 100 Aufrufe.

Das Skript selbst haben die Cyberkriminellen um Kommentare bezüglich der CVE-2023-25157-Lücke erleichtert. Zudem entfernten sie Code-Zeilen, die auf eine Netzwerk-bezogene Schwachstelle deuteten, wie PROXY oder PROXY_ENABLED. Namen im Skript änderten sie weiterhin von geoserver zu exploit. Schließlich ergänzten sie Code, der ein Batch-Skript herunterlädt und ausführt. Die Änderungen führen dazu, dass der Exploit-Code nicht mehr korrekt ausgeführt werde, ergänzen die IT-Forscher. Jedoch funktioniert der bösartige Download-Code korrekt, bis das Skript mit einer Ausnahme abbricht.

Die Batch-Datei startet ein Powershell-Skript, das seinerseits ein weiteres PS-Skript herunterlädt, das wiederum die ausführbare Datei %APPDATA%\Drivers\Windows.Gaming.Preview.exe auf den Rechner verfrachtet und als geplante Aufgabe zu Windows hinzufügt. Die startet die Datei alle drei Minuten und stellt so Persistenz her. Dabei handelt es sich um eine Variante von VenomRAT. Sie kontaktiert einen Command-and-Control-Server und protokolliert Tastenanschläge.

Wer solch einen Proof-of-Concept ausprobiert hat, sollte den Rechner daher auf Infektionen untersuchen. Verseuchter Proof-of-Concept-Code scheint zu einem neuen Trend zu werden. Bereits im Juni wurde eine Kampagne bekannt, bei der Cyberkriminelle gefälschte Profile zu IT-Sicherheitsforschern anlegen, die auf vermeintliche Proof-of-Concept-Exploits zu diversen Sicherheitslücken auf Github verweisen. Tatsächlich verbirgt sich dahinter jedoch Malware, die die Rechner von Interessierten infizieren soll.

(dmk)