Une récente vulnérabilité critique a été découverte dans l’application largement utilisée WinRAR, sous la désignation CVE-2023-38831. Cette faille a été exploitée par le groupe de cybercriminels Evilnum Advanced Persistent Threat-APT, avec des conséquences potentiellement dévastatrices pour les utilisateurs de ce logiciel. Dans cet article, nous plongerons dans les détails de cette vulnérabilité et de l’exploitation qui en a découlé.
DarkMe Malware et Son Mode Opératoire
Le malware DarkMe est au centre de cette histoire. Ce logiciel malveillant utilise principalement des e-mails d’hameçonnage ciblés, spécialement conçus pour les forums de trading en ligne en Europe. Son objectif ultime est de voler des informations financières sensibles, créant ainsi un préjudice financier pour de nombreuses entreprises.
L’attaque DarkMe repose sur une méthode sophistiquée. Les attaquants ont livré leur malware en utilisant une archive ZIP contenant un fichier apparemment inoffensif, tel qu’une image JPG, ainsi qu’un dossier portant le même nom que le fichier. Cependant, le dossier contenait également du code exécutable. Lorsque l’utilisateur tentait d’accéder au fichier inoffensif, le code malveillant était exécuté, permettant aux criminels de prendre le contrôle du système.
Analyse du Code Malveillant
L’examen du code malveillant révèle un processus complexe. Une fois le malware sur le système, il utilise des fichiers ActiveX pour établir des connexions et exécuter des commandes à distance. DarkMe exploite également une vulnérabilité de WinRAR pour extraire et exécuter des fichiers malveillants dans un répertoire temporaire.
Correction et Prévention
La vulnérabilité CVE-2023-38831 a depuis été corrigée par les développeurs de WinRAR dans la version 6.23. Il est fortement recommandé aux utilisateurs de WinRAR de mettre à jour leur logiciel pour se prémunir contre cette faille.
Conclusion
Cette vulnérabilité dans WinRAR, exploitée par DarkMe, met en évidence les dangers auxquels les utilisateurs peuvent être exposés lorsqu’ils manipulent des fichiers compressés. Il est essentiel de maintenir ses logiciels à jour et de faire preuve de vigilance lors de l’ouverture de fichiers provenant de sources inconnues pour éviter de devenir une victime potentielle de ce genre d’attaque.
Sources
- https://blog.securelayer7.net/analysis-of-cve-2023-38831-zero-day-vulnerability-in-winrar/
