مايكروسوفت تحذركم : يمكن أن تتلقي رسائل البريد الإلكتروني التي تخترق جهاز الكمبيوتر الخاص بك بسببWinRAR

2 سبتمبر، 2021
 اكتشف فريق Check Point مشكلة  في  وبرنامج وينرار كانت موجودة في البرنامج لمدة 14 عامًا. أثرت المشكلة  هذه على الملف UNACEV2.DLL ، المستخدم لفك ضغط الملفات بتنسيق .ACE. ومع ذلك ، تعذر على WinRAR تصحيحه لأنه فقد الكود المصدري. لذلك ، قاموا بحذف مكتبة الارتباط   (DLL) مباشرةً في الإصدار التالي 5.70 للبرنامج الذي كان يجب على الجميع تثبيته. ومع ذلك ، يتم تنفيذ العديد من الهجمات ، وحتى مايكروسوفت نفسها اضطرت إلى التحذير من هذا.

فقد اكتشف فريق الحماية المتقدم في Office 365 ملفات بتنسيق ACE تسعى إلى استغلال ثغرة WinRAR ، حيث لا يزال هناك مئات الملايين من أجهزة الكمبيوتر التي ليس لديها أحدث إصدار مثبت عليها لتصحيح  الثغرة (يمكنك أيضًا حذف DLL يدويًا  بحيث تكون محميًا).
إن الضعف  الأمني في البرنامج المرموز له ب CVE-2018-20250   يستخدم بشكل متزايد من قبل مجرمي الإنترنت في جميع أنحاء العالم منذ اكتشافه. تسمح لك المشكلة  هذه بتحديد موقع ملف يحتوي على برامج ضارة في أي مكان على جهاز كمبيوتر يعمل بنظام  الويندوز  ؛ بما في ذلك المجلد “ابدأ” أو START  للتشغيل في كل مرة يتم فيها تشغيل الكمبيوتر.
تعد MuddyWater إحدى مجموعات الهاكرز التي تستخدم هذا الضعف الأمني في البرنامج وينرار والتي تم اكتشافها بواسطة Rex Plantado من فريق أبحاث Office 365 ATP. من المعروف أن هذه المجموعة تعمل منذ عام 2017 وتهاجم أشخاصًا في الشرق الأوسط وأوروبا والولايات المتحدة. لتنفيذ الهجمات ، فإنها عادة ما تعدل الملفات المرسلة عن طريق رسائل البريد الإلكتروني المخادعة ، والتي تمثل الشركات والوكالات الأمنية في مختلف الحكومات.
كانت رسالة البريد الإلكتروني التي اكتشفها فريق أبحاث Office 365 ATP عبارة عن رسالة تم طرحها على أنها من وزارة خارجية أفغانستان ، وكانت ستهدف  أهداف محددة للغاية تتعلق بالاتصالات السلكية واللاسلكية وخدمة الخرائط الساتلية. احتوى البريد الإلكتروني على ملف Word مع رابط لمستند آخر مخزّن في OneDrive. في حالة النقر فوقه  تم تنزيل ملف Word ثانٍ بدوره باستخدام ماكرو ضار ، وفي حالة تجاهل المستخدم لتحذيرات الأمان  سيصاب حاسوبه بعد ذلك.

يقوم الماكرو بدوره أيضًا بتشغيل برنامج نصي PowerShell يقوم بجمع المعلومات من الكمبيوتر المصاب ، ويقوم بتعيين معرف فريد له ، ويرسله إلى خادم بعيد. يستخدم هذا البرنامج النصي أيضًا لاستغلال مشكلة  WinRAR لتنزيل ملف ACE بثلاث صور JPEG ، ووضع ملف ضار يسمى Dropbox.exe في مجلد بدء التشغيل عند محاولة فك الضغط.

من هناك ، ينذر البرنامج الضار المستخدم بأنه يجب عليه إعادة تشغيل الكمبيوتر لأن DLL مفقود. وذلك لأن الضعف يسمح لك بوضع ملف في أي مجلد ، ولكن لا يمكن تنفيذه. لذلك ، عند إعادة تشغيل جهاز الكمبيوتر ووضع الملف في مجلد “ابدأ” ، يتم تشغيل البرامج الضارة مع كل بدأ تشغيل للكومبيوتر الذي يرسل بياناتك على الكومبيوتر إلى الهاكرز.

2 سبتمبر، 2021