Google'a göre, dosya arşivleme aracı WinRAR'da bilinen bir güvenlik açığı , yeterli sayıda kullanıcının yamayı yüklememesi nedeniyle hızla çoğalmaya devam ediyor.
Şirket bugün, "birden fazla hükümet destekli bilgisayar korsanlığı grubunun" kötü amaçlı yazılım dağıtmak için CVE-2023-3883 olarak adlandırılan kusurdan yararlandığı konusunda uyardı . Google bir blog yazısında şöyle yazdı: "WinRAR hatasının yaygın şekilde kullanılması, bilinen güvenlik açıklarından yararlanmanın, mevcut bir yama olmasına rağmen son derece etkili olabileceğini vurguluyor . "
WinRAR , bilgisayar korsanlarının Nisan ayından bu yana kötüye kullanmasının ardından 2 Ağustos'ta 6.23 sürümüyle kusuru yamaladı. Tek sorun, WinRAR'ın otomatik güncelleme özelliğinin bulunmaması, yani kullanıcıların korunmak için güncellemeleri WinRAR'ın web sitesinden manuel olarak indirip yüklemeleri gerektiği anlamına geliyor.
Google, "Artık bir yama mevcut ancak birçok kullanıcı hâlâ savunmasız görünüyor" diyor.
Şirket, son haftalarda devlet destekli bilgisayar korsanlarının bu kusurdan yararlandığını gözlemledi; bunlar arasında, ülkenin ordusuyla bağları olduğundan şüphelenilen Rus devleti destekli bir grup olan " Sandworm " da bulunuyor. Geçtiğimiz ay Google, Ukraynalı kullanıcıları hedef alan, Ukrayna'daki bir drone savaş eğitim okulundan gelmiş gibi görünen bir kimlik avı e-postasını ortaya çıkardı.
Google, "E-posta, drone operatörü eğitim müfredatını içeren zararsız bir tuzak PDF belgesi ve CVE-2023-38831'den yararlanan kötü amaçlı bir ZIP dosyası sunan, anonim bir dosya paylaşım hizmeti olan fex[.]net'e bir bağlantı içeriyordu" diye ekledi. ZIP dosyasındaki bir belgeyi açmak, bir bilgisayarın oturum açma kimlik bilgilerini çalabilecek bir "bilgi hırsızlığı" kötü amaçlı yazılım programını yüklemesini gizlice tetikleyebilir.
Ayrı bir olayda Google, " Fancy Bear " adlı başka bir Rus devleti destekli bilgisayar korsanlığı grubunun, Ukraynalı kullanıcıları WinRAR kusurundan da yararlanabilecek bir ZIP dosyası indirmeleri için kandırmak amacıyla bir kimlik avı sayfası oluşturduğuna dair kanıt buldu. Google, "Tuzak belge, Ukrayna'daki bir kamu politikası düşünce kuruluşu olan Razumkov Merkezi'nden gelen bir etkinlik davetiyesiydi" dedi.
Çin devleti destekli bilgisayar korsanları da bu kusuru kötüye kullanıyor. Ağustos ayı sonlarında APT40 adlı ayrı bir grup, Papua Yeni Gine'deki kullanıcıları hedef alan bir kimlik avı kampanyası başlattı. Google, "Kimlik avı e-postaları, CVE-2023-38831 istismarını içeren bir ZIP arşivine giden bir Dropbox bağlantısı, parola korumalı bir tuzak PDF ve bir LNK dosyası içeriyordu" diyor. Sonuç olarak bilgisayara gizlice bir arka kapı yüklenebilir.
Sonuç olarak Google, WinRAR kullanıcılarını yazılımlarını güncellemeye çağırıyor. "WinRAR hatasını kullanan bu son kampanyalar, yama uygulamasının öneminin altını çiziyor ve kullanıcıların yazılımlarını güvenli ve güncel tutmasını kolaylaştırmak için hala yapılması gereken işler olduğunu gösteriyor" diyor.
Programın otomatik güncelleme özelliği ekleyip eklemeyeceği konusunda yorum almak için WinRAR'a ulaştık ve geri bildirim alırsak hikayeyi güncelleyeceğiz. Bu arada WinRAR'ın web sitesinde dünya çapında 500 milyonun üzerinde kullanıcısı olduğu belirtiliyor.