Ce pirate audacieux induit les chercheurs en sécurité en erreur et leur fait télécharger un malware

Si vous utilisez toujours WinRaR et que vous cherchez à étudier les vulnérabilités de ce logiciel de compression de données, faites extrêmement attention. Un cybercriminel fait circuler actuellement un faux code de validation de concept concernant une faille de sécurité de ce programme autrefois présent sur tous les PC.

pirate ecrans capuche
Crédit : 123rf

D’après les chercheurs en cybersécurité de Unit 42, un utilisateur de Github appelé Whalersplonk « a reutilisé un ancien code de validation de concept (PoC) pour créer rapidement une fausse démonstration de faisabilité et pousser les chercheurs en sécurité informatique peu attentifs à exécuter le code malicieux. Alors que le PoC original est censé exposer la faille CVE-2023-40477 permettant d’exécuter du code à distance à travers WinRaR, le code proposé par le hacker est en fait une copie retravaillée d’une autre démonstration de faisabilité, en Python.

À lire — Le FBI se fait troller par l’un des pirates les plus dangereux au monde

D’après Unit 42, le faux PoC destiné à exploiter cette vulnérabilité de WinRAR était basé sur un script publiquement disponible qui exploitait une vulnérabilité d’injection SQL dans une application appelée GeoServer, répertoriée sous CVE-2023-25157. Si vous êtes chercheur en cybersécurité, ou simplement, si ce domaine vous intéresse, prenez garde à télécharger le bon PoC quand vous allez sur Github.

Ce pirate trompe les chercheurs en sécurité pour qu’ils installent un malware sur leur PC

D’après les chercheurs, les internautes victimes de ce type d’attaque ont probablement installé un malware nommé VenomRAT (pour Remote Access Trojan), et il est fort possible qu’un hacker ait pris le contrôle de votre PC. En effet, une fois le code lancé, “un script télécharge le malware et crée une tâche planifiée qui s’exécute toutes les trois minutes”. VenomRAT enregistre tout ce que vous tapez sur le clavier dans un fichier local, dont il envoie le contenu à un serveur distant à intervalle régulier.

À lire — Les cybercriminels se vengent de la Cour pénale internationale en infiltrant ses serveurs

Toute personne ayant exécuté ce faux PoC devrait donc modifier ses mots de passe pour tous les sites et environnements dans lesquels elle possède des comptes ».

Source : Unit 42


Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos derniers  !