IT之家12月23日消息,网络安全公司DeepInstinct本周四发布报告,报道称黑客利用WinRAR漏洞,分发LONEPAGE恶意脚本,针对在乌克兰境外公司工作的乌克兰员工发起攻击。
报道称黑客组织UAC-0099利用包含HTA、RAR和LNK文件附件的网络钓鱼消息,部署LONEPAGE(一种VisualBasic脚本VBS恶意软件),联系命令和控制(C2)服务器,可以记录键盘敲击、窃取程序和屏幕截图等。
报道称UAC-0099利用编号为CVE-2023-38831(CVSS评分:7.8)的WinRAR漏洞,分发LONEPAGE恶意脚本。
除了HTA附件方式之外,UAC-0099还通过自解压(SFX)和ZIP格式分发,其中SFX文件中包含LNK快捷方式,该快捷方式伪装成用于法院传票的DOCX文件,同时使用Microsoft写字板的图标诱使受害者打开。IT之家附上演示图如下:
另一个攻击序列使用了一个特别构建的ZIP存档,在目前截取的病毒样本中显示日期为2023年8月5日,也是WinRAR维护者发布CVE-2023-38831补丁的三天后。
