یک مهاجم درحال گسترش اکسپلویت جعلی اثبات نامفهوم (PoC)  برای آسیب‌پذیری WinRAR است که اخیرا در GitHub رفع شده است.
 
به گزارش افتانا، این مهاجم، کاربران را با اکسپلویت جعلی WinRAR PoC، در GitHub فریب می‌دهد تا سیستم آنها را با بدافزار VenomRAT آلوده کند. این PoC جعلی، آسیب‌پذیری WinRAR را اکسپلویت نمی‌کند، به‌نظر می-رسد مهاجم از یک RCE با جستجوی بالا در WinRAR، برای به خطر انداختن دیگران استفاده می‌کند.
 
PoC جعلی برای آسیب‌پذیری CVE-2023-40477 ایجاد شده است. یک آسیب‌پذیری اجرای کد که می‌تواند زمانی که فایل‌های RAR ساخته شده در WinRAR قبل از 6.23 باز می‌شوند، فعال شود.
 
CVE-2023-40477  به یک آسیب‌پذیری اعتبار سنجی نامناسب، در ابزار WinRAR مربوط می‌شود که می-تواند برای دستیابی به اجرای کد از راه دور (RCE) در سیستم‌های ویندوز اکسپلویت شود. این آسیب‌پذیری، ماه گذشته  در نسخه WinRAR 6.23 همراه با آسیب¬پذیری دیگری با عنوان CVE-2023-38831  که اکسپلویت شده بود، ردیابی شد.
 
عامل مخرب شامل یک فایلREADME  و یک ویدیوی Streamable بود که نحوه استفاده از PoC را نشان می‌داد. اسکریپت جعلی Python PoC در واقع اصلاح یک اکسپلویت در دسترس عموم برای یک آسیب‌پذیری دیگر است، CVE-2023-25157، یک آسیب‌پذیری بحرانی تزریق  SQLاست که GeoServer را تحت تاثیر قرار می‌دهد.
 
این عامل مخرب هنگامی که اجرا می‌شود، به جای اجرای اکسپلویت، یک اسکریپت دسته‌ای ایجاد می¬کند که یک اسکریپت کدگذاری شده PowerShell را دانلود کرده و روی host اجرا می¬کند.
 
این اسکریپت، بدافزارVenomRAT  را دانلود می‌کند و یک کار برنامه‌ریزی شده برای اجرای آن ایجاد می‌کند. مهاجم ممکن است در آینده از توجه بیشتر جامعه امنیتی به آسیب‌پذیری‌های جدید، برای انتشارسایر PoC های گمراه کننده برای آسیب‌پذیری‌های مختلف استفاده کند.
 
PoCهای جعلی درGitHub یک حمله کاملا مستند است که در آن، عوامل تهدید سایر مجرمان و محققان امنیتی را هدف قرار می‌دهد.