Celah Pada WinRAR Secara Aktif Digunakan Untuk Menjalankan Malware di Windows

Menurut laporan menyatakan bahwa celah keamanan ditemukan pada aplikasi arsip populer WinRAR, Diketahui bahwa Winrar telah di exploit oleh hackers hampir diseluruh dunia.

Celah keamanan ditemukan oleh peneliti di 360 Threat Intelligence Center, Celah tersebut memungkinkan penyerang membuat path-traversal vulnerability di WinRAR dan kemudian menjalankan code berbahaya pada Komputer korban hanya dengan membuka file arsip.

Di Generate menggunakan MSF, backdoor tersebut di-load ke global startup folder dari sistem menggunakan WinRAR dengan UAC yang non-aktifkan. Kode berbahaya tersebut berjalan setiap kali sistem boots up dan menyediakan remote access untuk penyerang.

RAR Lab telah merilis patch di versi terbaru WinRar mereka minggu lalu, akan tetapi mengingat WinRAR sangat popular dikalangan pengguna Windows maka akan sangat sulit memastikan apakah pengguna telah menggunakan versi terbaru.

Celah serangan tersebut di eksploit dengan mengirimkan maslspam (malware melalui email) yang menciptakan file excutable CMSTray.exe, yang dibungkus diantara file arsipdan di download secara remote.

Sekali korban membuka arsip yang didistribuso oleh penyerang, Kode berbahaya tersebut ditempatkan di startup folder (C:\ProgramData\Microsoft\Windows\StartMenu\Programs\Startup\CMSTray.exe).

Menurut BleepingComputer yang telah mendownload contoh file dan menginvestigasi RAR archive dengan hex editor, kita dapat melihat bahwa exploit akan meng-ekstrak file ke Startup folder pengguna.

Sebagai tindakan pencegahan dari serangan tersebut, kami sarankan mengaktifkan User Account Control (UAC) jika anda menggunakan winrar versi lama.

Akan tetapi jika UAC sedang berjalan, pengguna akan mendapatkan eror kegagalan dalam ekstrak arsip dimana malware aka diletakan pada folder C:\ProgramData folder karena faktor permissions.

Pada CMSTray.exe telah terekstrak ke Startup folder, pada login selanjutnya file executable tersebut akan dijalankan, sekali file tersebut berjalan akan menduplikasi CMSTray.exe ke %Temp%\wbssrv.exe dan menghasilkan file wbssrv.exe

Malware akan mencoba membuat koneksi ke http://138.204.171.108/ dan mendownload babarapa file, meliputi Cobalt Strike Beacon DLL. Cobalt Strike Beacon adalah sebuah penetration testing tool yang juga digunakan oleh pihak yang tidak bertanggung jawab untuk malakukan remote access pada komputer korban.

Setelah DLL di-load, Penyerang akan mampu mengakses komputer kita secara remote, menjalankan perintah lewat command, dan tentu saja menyebarkan malware ke Komputer lain dalam jaringan. Bagaimana jika penyerang download file sensitif kita, Folder PR ukuran 60Gb hehehe atau KK dan KTP kakek Sugiono dan cucunya?.. Who Knows!!!!

Selebihnya, peneliti juga menemukan path traversal vulnerability pada unacev2.dll, yang dimana merupakan dynamic link library (dll) pihak ketiga yang hadir bersamaan pada Win RAR yang digunakan untuk parse ACE archives.

Penyerang menggunakan taktik spear-phishin untuk mengirim file ACE yang telah disamarkan yang dapat digunakan untuk memuat Malware ke sistem korban.

Entah apa motif dan dampak yang akan didapat korban dari penyerangan tersebut, alangkah baiknya kita update Winrar kita.


Leave a Reply

Your email address will not be published. Required fields are marked *