WinRAR零時差漏洞已被濫用，受害者點擊無害檔案就安裝惡意程式

檔案壓縮軟體WinRAR一項漏洞可讓用戶點擊無害檔案時遭安裝惡意程式，至少4月已經被用來攻擊加密貨幣投資人從帳號內竊取財物。

安全廠商Group-IB 7月偵測到，WinRAR一個之前未知的漏洞遭駭客濫用，用以散布DarkMe等惡意程式。這個編號CVE-2023-38831的漏洞位於ZIP檔案的處理過程，攻擊者可以製作惡意.ZIP或.RAR壓縮檔，當中包含無害檔案（例如.jpg、.txt或PDF檔等）及惡意執行檔，並以無害檔名為資料夾命名。當使用者點擊並試圖解壓縮看似合法的檔案時，即被安裝惡意程式。

Group-IB研究，已有DarkMe、GuLoader、Remcos RAT等惡意程式經由惡意.ZIP挾帶散布，並以加密貨幣交易者為攻擊目標。至少在今年4月間，該漏洞已被濫用製作惡意壓縮檔在加密貨幣交易平臺論壇上散布，以感染受害者裝置，以DarkMe為例，攻擊者旨在從加密貨幣投資人交易帳號竊取財物。截至本周，研究人員發現還有130臺交易者的裝置感染該惡意程式。

Bleeping Computer報導，DarkMe過去和以金錢為目的的EvilNum組織有關，但不確定該群人是否也策畫了此次攻擊。

WinRAR維護單位RARLab在接獲安全廠商通報後，已在7月20日發布WinRAR 6.23版本解決本漏洞。安全廠商建議有用戶應升級到最新版本。

這是WinRAR近日揭露的第二項漏洞。上周Zero Day Initiative（ZDI）也揭露高風險漏洞CVE-2023-40477，可讓遠端攻擊者傳送惡意RAR檔，受害者一旦開啟檔案，即可在其電腦上執行任意程式。兩項漏洞都是在WinRAR 6.23版修補完成。