Ojo:Abrir ficheros Zip en Winrar puede tener consecuencias sobre nuestra cripto

[DdmrDdmr]

Si alguien quiere leer en detalle sobre el asunto, sería recomendable echarle un vistazo a los siguientes artículos al respecto:

https://www.group-ib.com/blog/cve-2023-38831-winrar-zero-day/
https://www.bleepingcomputer.com/news/security/winrar-zero-day-exploited-since-april-to-hack-trading-accounts/

El primer artículo fue redactado por el equipo que descubrió la vulnerabilidad objeto de este post, vulnerabilidad que ya se ha parcheado en la versión más reciente de Winrar, y que ha sido explotada activamente desde abril 2023 según citan.

De manera resumida, fichero Zip maliciosos han sido distribuidos por varios caminos, entre ellos en foros de trading y de criptomonedas, donde parecían focalizar sus ataques. Estos ficheros Zip, cuando se abrían desde Winrar, hacían buena la explotación de la vulnerabilidad descubierta de la siguiente manera:

The cybercriminals are exploiting a vulnerability that allows them to spoof file extensions, which means that they are able to hide the launch of malicious script within an archive masquerading as a ‘.jpg’, ‘.txt’, or any other file format <…>

A ZIP archive was crafted to deliver various malware families: DarkMe, GuLoader, Remcos RAT

Vamos, que el hecho de intentar abrir un fichero común de tipo jpg o txt te puede llevar a instalarte un malware del copón sin que lo sepas, malware que da pie a instalar keyloggers, realizar capturas de pantalla, control remoto de tu ordenador, etc.
 

Este es un ejemplo de como se propaga a través de los foros. ¿Quizás nos suene de algo este formato …?:

Como siempre, hemos de evitar descargarnos nada de fuentes de dudosa procedencia, aunque uno podría pensar que el contenido es del todo inocente:

Obviamente, tambien es recommendable actualizar la versión de Winrar que tengamos, instalando la última versión (legítima) que ya parchea la citada vulnerabilidad.
 
Ver (resumen liviano en Español):
https://es.cointelegraph.com/news/winrar-patches-zero-day-bug-targeted-crypto-traders

[1714320172]

1714320172

[1714320172]

1714320172

[airbin]

Antes si usaba mucho winrar hoy en dia es que ni le recordaba, se ven mucho en redes p2p, en realidad es bueno saberlo, tambien los usan mucho en Telegram. Creo que esos archivos no los detecta el anitvirus, los detecta cuando estan instalados. 

[DdmrDdmr]

<...>

Entiendo que los antivirus se adaptarán a poder detectar el código en los .zip que abren la puerta de la vulnerabilidad del rar, aunque no estoy muy puesto en la celeridad y diligencia con lo que lo hacen. Al mirar un tanto el tipo de malware que instala, leí que algunos de ellos incorporan técnicas para elidir las heurísticas que detectan los antivirus. Supongo que esto les da una ventana mayor de ataque inicial, hasta que se trabaje en los remedios de una manera más detallada.

Por otro lado, no es de extrañar que el foco de esta explotación esté sobre los ámbitos financiero y de las criptomonedas. Quizás el número de casos de usuarios impactados es bajo para lo que podría ser (el artículo de BleepingComputer habla de 130 conocidos), pero sólo con dar con un usuario que tenga una buena cartera cripto o financiera les hace "rentable" la jugada.

[Hispo]

A mi nunca se me hubiese ocurrido que un archivo comprimido pudiese ser explotado de esta manera para instalar malware dentro de una computadora personal.
Por lo general cuando abro un comprimido, solo le doy atención al contenido y no que hay detras de todo.

Gracias por la información. Aunque me parece interesante como la implatanción del malware solo esté siendo usada contra usuarios de brokers y exchanges, yo hubiese esperado que este tipo de exploits tambien fuesen de utilidad contra billeteras de auto custodia.

Yo en terminos generales soy un poco cavernícola en terminos de hacking y estudio de código, por lo que nunca estoy al 100% conciente de todos los peligros que hay alli afuera.  

Procuraré darle una actilización a mi Winrar ahora mismo.

[DdmrDdmr]

<…> Aunque me parece interesante como la implatanción del malware solo esté siendo usada contra usuarios de brokers y exchanges, yo hubiese esperado que este tipo de exploits tambien fuesen de utilidad contra billeteras de auto custodia <…>.

Por el tipo de malware que se instala, creo que pueden atacar realmente lo que quisiesen. Entre capturas de pantalla, keyloggers, y control remoto, están en disposición (de usarlo todo, y siendo hábil) de poder acceder a carteras de autocustodia también.
Un caso hipotético sería que tuvieses Electrum, capturasen tu contraseña mediante un keylogger, y mientras dejas la máquina por la noche abierta, bajando películas, acceden de manera remoto, abren Electrum, y transfieren su contenido a donde quieran.

Lo que queda a salvo en este escenario hipotético es que tuvieses una hardware wallet, dado que sin el dispositivo físico no pueden progresar. Se me ocurre no obstante que sí podrían instalar un keyjacker que cambiase la dirección de destino a la cual quisieses enviar fondos. Ej/ copias la dirección para pagar en un comercio, y el keyjacker lo reemplaza por su dirección. Cuando haces el envío con Ledger, acabas enviando a la dirección del maleante.

Una observación más sobre el tema del rar y los zips: El malware se activa al clickar sobre uno de los elementos contenidos en el zip desde el entorno del rar. Es decir, si lo descomprimes en un directorio primero, y abres un documento desde allí, diría que no se activa de ninguna de las maneras.

[Artemis3]

Esto es tan viejo y la gente es tan necia con sus malos hábitos. Dejen el windows de una buena vez.

Exploit como ese he visto muchos, incluso previos a Bitcoin. Como el de las imágenes que ejecutan código o las otras miles de maneras de ejecutar código de manera silenciosa, un email recibido en Outlook (que no es que lo abras, es que el Outlook lo recibe y ya ejecuta el exploit).

Nunca olvido una vez que vi a un windows recién instalado infectarse en tiempo real 30 segundos luego de conectarse (por primera vez) al internet. Que ni tiempo de descargar antivirus o cosas de esas...

Nunca manejen dinero si no es con Linux o BSD. El resto es una bomba de tiempo. Y aun con un sistema seguro, hay que tener hábitos saludables. Pero con un sistema inseguro como windows, es que no puedes hacer nada, te van a robar,

[Porfirii]

-snip-

Nunca olvido una vez que vi a un windows recién instalado infectarse en tiempo real 30 segundos luego de conectarse (por primera vez) al internet. Que ni tiempo de descargar antivirus o cosas de esas...

-snip-

Efectivamente, doy fe de esto porque también lo he vivido, hace ya unos cuantos años (en Windows XP): formatear el disco duro, instalar windows, conectar a Internet y ¡boom! "su ordenador se reiniciará en 50 segundos" (por aquél entonces circulaba el virus Sasser [Win32/Sasser.A] que era como una mosca cojonera).

No se puede vivir así, con la intriga de que en cualquier momento, durante un uso común de tu ordenador, te puedas quedar sin ahorros. ¿A alguien se le ocurre que por el mero hecho de salir a pasear le vacíen a uno la cuenta del banco? Seguid el consejo de Artemis y aparcad Windows.

[DdmrDdmr]

Estuve mirando el historial de los posts del pájaro que propagaba este tipo de fichero comprimido en el foro (según la captura de pantalla reflejada en mi post más arriba), y fijándome bien, el fichero que propagaba parecía ser un rar y no un zip. Según el esquema gráfico (ver más arriba) donde explica el proceso de infección, éste se produce al abrir un fichero zip malicioso desde Winrar.

No obstante, en el post se intentaba propagar un rar (no un zip), por lo que no tengo claro que pudiese hacer uso del exploit para colar su código malicioso.

[seoincorporation]

Un motivo mas para usar linux colegas ya que mas del 95% de los ataques son enfocados a usuarios de windows, es difícil encontrarte con un ataque de estos con enfoque en Unix.

Pero la mejor parte de linux y este tipo de ataques es que existen herramientas potentes para detectarlos, es por eso que no se necesita un antivirus, algunas de mis favoritas son:

nmap: verificar los puertos abiertos.
snort: Como su nombre lo dice en ingles (Sistema de detección y prevención de intrusos en la red)
wireshark: Analizador de protocolos de red (Literalmente ves todo lo que pasa en tu red)

Debemos entender que nuestra seguridad hoy en día va mas allá de si abrimos o no un archivo Zip, debemos de ser cuidadosos en todos los aspectos, desde un click en un enlace, o la simple persuasión de los estafadores. Son tiempos en los que camarón que se duerme se lo lleva la corriente.

[Silberman]

-snip-

Nunca olvido una vez que vi a un windows recién instalado infectarse en tiempo real 30 segundos luego de conectarse (por primera vez) al internet. Que ni tiempo de descargar antivirus o cosas de esas...

-snip-

Efectivamente, doy fe de esto porque también lo he vivido, hace ya unos cuantos años (en Windows XP): formatear el disco duro, instalar windows, conectar a Internet y ¡boom! "su ordenador se reiniciará en 50 segundos" (por aquél entonces circulaba el virus Sasser [Win32/Sasser.A] que era como una mosca cojonera).

No se puede vivir así, con la intriga de que en cualquier momento, durante un uso común de tu ordenador, te puedas quedar sin ahorros. ¿A alguien se le ocurre que por el mero hecho de salir a pasear le vacíen a uno la cuenta del banco? Seguid el consejo de Artemis y aparcad Windows.

Ah, los recuerdos, aquellos días en los cuales instalar y mantener segura mi instalación de Windows era toda una pesadilla, recuerdo haber tenido que instalar el mismo Windows tres veces en un mismo día porque mi instalación se infectaba en menos de dos minutos.

Supongo que incluso ahora mantener Windows seguro sigue siendo sumamente difícil, así que me sumo a la recomendación de usar Linux, ahora bien, yo sé que muchas personas consideran a Linux como algo complicado, pero si así lo desean pueden seguir usando Windows para navegar por internet, jugar video juegos y otras actividades que no manejen información importante, pero cuando esto sea así hay que dejar Windows de lado y usar Linux cuando se trate de operaciones financieras o de documentos importantes, este cambio aunque pequeño incrementará de manera significativa nuestra seguridad, aunque claro está incluso Linux no puede protegernos de los errores garrafales que pudiésemos cometer.

[famososMuertos]

...//...::
significativa nuestra seguridad, aunque claro está incluso Linux no puede protegernos de los errores garrafales que pudiésemos cometer.

Y ese es el punto final; si, tomar aquello funciona mejor. Pero, si el individuo no se compromete en actitud y aptitudes, esta siempre con el mensaje "Tu memoria esta infectada".

Y esa frase literal y figurativa, para este caso.

____
Por ejemplo, este caso, hay personas, y no lo estoy diciendo a percepción, lo he visto, que tienen instalado Winzip o lo descargan porque les enviaron un "archivo.zip". La curiosidad de saber que hay ahí.

¡Por favor! en estos tiempos que estamos es tan necesario usar win.zip, un no, o mejor ¡NO! al menos para aquellos individuos que necesitan comprometerse, estamos en tiempos que Telegram permite hasta 2GB/4GB gratis, ah! quieres más, paga. El otro  popular de color verde (Wazap, .) ), no tengo idea lo uso solo para chat nunca mando nada por ahí que no sea texto. Y, tenemos una diversidad de formas de enviarnos archivos sin comprimir que resulta realmente "tonto" usar win.zip si no eres un individuo comprometido con saber que es lo que haces al hacer clic.

El "si", de los que pueden usar win.zip por distintas razones se reduce a muy pocos, entonces tengas el SO que tengas si recibes un win.zip si no hay el compromiso o la fuerza de voluntad (risas aquí), si, si, es adictivo el hace clic, ningún sistema operativo es funcional.

[seoincorporation]

¡Por favor! en estos tiempos que estamos es tan necesario usar win.zip, un no, o mejor ¡NO! al menos para aquellos individuos que necesitan comprometerse, estamos en tiempos que Telegram permite hasta 2GB/4GB gratis, ah! quieres más, paga. El otro  popular de color verde (Wazap, .) ), no tengo idea lo uso solo para chat nunca mando nada por ahí que no sea texto. Y, tenemos una diversidad de formas de enviarnos archivos sin comprimir que resulta realmente "tonto" usar win.zip si no eres un individuo comprometido con saber que es lo que haces al hacer clic.

Es bueno aclarar que existen alternativas de compresión que son libres, un ejemplo es "tar".

https://es.wikipedia.org/wiki/Tar

Pero tienes un buen punto colega, realmente podemos evitar la compresión de archivos hoy en día ya que las velocidades de subida y descarga son altas.

Pero insisto en el punto de que el problema no es solo win zip, sino, que es un exploit más. veo que mencionas telegram, pero si buscamos explots para esta plataforma encontramos que hay un par de "Denial of Service" para este software:

https://www.exploit-db.com/exploits/50247
https://www.exploit-db.com/exploits/38337

Y es asi para la mayoría de los programas que usamos, y esta es la razón por la cual siempre debemos de aplicar actualizaciones.

[Artemis3]

Tar no es compresión, tiene su historia pero es otro tema. Si es por alternativas libres en el windows toda la vida ha estado el 7zip que hace lo mismo que winrar/winzip sin el eterno anuncio de que no lo has pagado...

Pero cuando no es winrar es otra cosa, siempre algo consiguen.