Seorang hacker sedang menyebarkan eksploit palsu berupa bukti konsep (PoC) untuk kerentanan WinRAR yang baru-baru ini diperbaiki di GitHub, berusaha menginfeksi para pengunduh dengan malware VenomRAT. Eksploit PoC palsu ini ditemukan oleh tim peneliti Unit 42 dari Palo Alto Networks, yang melaporkan bahwa penyerang mengunggah kode jahat ke GitHub pada 21 Agustus 2023.
.
Serangan ini sudah tidak aktif lagi, tetapi sekali lagi menyoroti risiko mendapatkan PoC dari GitHub dan menjalankannya tanpa pemeriksaan tambahan untuk memastikan keamanannya. Eksploit PoC palsu WinRAR ini menurut peneliti Unit 42, menggunakan kerentanan CVE-2021-35052 yang memungkinkan penyerang mengeksekusi kode jarak jauh pada sistem yang rentan dengan mengirimkan file RAR yang dibuat khusus.
Serangan ini sudah tidak aktif lagi, tetapi sekali lagi menyoroti risiko mendapatkan PoC dari GitHub dan menjalankannya tanpa pemeriksaan tambahan untuk memastikan keamanannya. Eksploit PoC palsu WinRAR ini menurut peneliti Unit 42, menggunakan kerentanan CVE-2021-35052 yang memungkinkan penyerang mengeksekusi kode jarak jauh pada sistem yang rentan dengan mengirimkan file RAR yang dibuat khusus.
.
WinRAR telah memperbaiki kerentanan ini pada versi 6.02 yang dirilis pada Juli 2021, tetapi tampaknya banyak pengguna yang belum memperbarui aplikasi mereka. Penyerang memanfaatkan hal ini dengan membuat eksploit PoC palsu yang meniru eksploit PoC asli yang dibuat oleh peneliti Check Point Research.
WinRAR telah memperbaiki kerentanan ini pada versi 6.02 yang dirilis pada Juli 2021, tetapi tampaknya banyak pengguna yang belum memperbarui aplikasi mereka. Penyerang memanfaatkan hal ini dengan membuat eksploit PoC palsu yang meniru eksploit PoC asli yang dibuat oleh peneliti Check Point Research.
.
Eksploit PoC palsu ini mengandung kode VenomRAT, sebuah trojan akses jarak jauh (RAT) yang dirancang untuk mencuri data sensitif, merekam aktivitas pengguna, dan memberikan kontrol penuh kepada penyerang atas perangkat yang terinfeksi4. VenomRAT juga dapat mengunduh dan menjalankan file tambahan dari server C&C penyerang.
Eksploit PoC palsu ini mengandung kode VenomRAT, sebuah trojan akses jarak jauh (RAT) yang dirancang untuk mencuri data sensitif, merekam aktivitas pengguna, dan memberikan kontrol penuh kepada penyerang atas perangkat yang terinfeksi4. VenomRAT juga dapat mengunduh dan menjalankan file tambahan dari server C&C penyerang.
.
Penyerang menyebarkan eksploit PoC palsu ini melalui akun GitHub palsu dengan nama “poc-exploits”, yang dibuat pada 21 Agustus 2023. Akun ini hanya memiliki satu repositori bernama “CVE-2021-35052”, yang berisi file RAR berbahaya dengan nama “poc.rar”. Jika pengguna membuka file RAR ini dengan versi WinRAR yang rentan, mereka akan terinfeksi oleh VenomRAT.
Penyerang menyebarkan eksploit PoC palsu ini melalui akun GitHub palsu dengan nama “poc-exploits”, yang dibuat pada 21 Agustus 2023. Akun ini hanya memiliki satu repositori bernama “CVE-2021-35052”, yang berisi file RAR berbahaya dengan nama “poc.rar”. Jika pengguna membuka file RAR ini dengan versi WinRAR yang rentan, mereka akan terinfeksi oleh VenomRAT.
.
Peneliti Unit 42 melaporkan hal ini kepada GitHub, dan akun serta repositori palsu tersebut telah dihapus. Namun, mereka memperingatkan bahwa penyerang mungkin akan mencoba lagi dengan cara yang sama atau berbeda. Mereka menyarankan pengguna WinRAR untuk segera memperbarui aplikasi mereka ke versi terbaru, dan berhati-hati saat mengunduh dan membuka file RAR dari sumber yang tidak tepercaya.
Peneliti Unit 42 melaporkan hal ini kepada GitHub, dan akun serta repositori palsu tersebut telah dihapus. Namun, mereka memperingatkan bahwa penyerang mungkin akan mencoba lagi dengan cara yang sama atau berbeda. Mereka menyarankan pengguna WinRAR untuk segera memperbarui aplikasi mereka ke versi terbaru, dan berhati-hati saat mengunduh dan membuka file RAR dari sumber yang tidak tepercaya.
