针对WinRAR漏洞黑客开始通过色情图片诱导用户加载

此前蓝点网提到迈克菲已经监测到数百种不同的攻击样本,这些攻击全部是针对WinRAR存在的组件库漏洞。

当然也没有意外目前这类攻击已开始出现飙升的情况,越来越多的黑客开始利用WinRAR漏洞展开攻击活动。

具体攻击手法上也出现八仙过海各显神通的局面,不同黑客利用不同的方式尽可能的诱导用户进行解压操作。

针对WinRAR漏洞黑客开始通过色情图片诱导用户加载

案例1:成人色情图片诱导你打开

360威胁情报中心最新捕获的样本是个让人羞羞的内容,里面各种成人色情图片想必非常吸引男同胞们查看。

WinRAR打开后默认只会显示文件名称而不会出现图片预览,当然出于好奇原因你可能会随手点开图片看看。

此外WinRAR也不能在没有解压的情况下批量查看图片,所以点开图片后用户想要更快捷的查看就得先解压。

如果进行解压则这个恶意的压缩包会释放木马程序到系统启动目录,系统重启后木马程序即可自动执行运行。

而即便用户开启UAC账户控制全程也不会有任何感知,黑客可谓是将技术和人性全部用上就为了提高成功率。

针对WinRAR漏洞黑客开始通过色情图片诱导用户加载

案例2:借招聘之名传播木马程序

能够吸引用户点击的除色情图片外还有招聘类的内容,例如在阿拉伯等地区有黑客借招聘之名诱导用户解压。

这个压缩文档内含.PDF文档但用户无法直接打开,所以用户可能会习惯性的尝试先完全解压再阅读PDF文档。

解压的同时恶意压缩包会释放.VBE脚本到系统启动目录,等系统重启后这个VBE脚本即可实现自动执行运行。

成功运行后会利用WindowsPoweshell连接远程服务器下载木马,进而负载更多恶意内容完成对用户的劫持。

最简单的方法就是升级压缩软件:

漏洞虽然存在但毕竟WinRAR和其他压缩软件已经修复,所以应对这类攻击其实最简单的方式就是升级版本。

只要成功升级则即便打开这些恶意压缩包也不会触发漏洞,不触发漏洞也就不会在启动目录里被安插木马等。

而后续针对此类攻击的漏洞自然还会逐渐增多,建议使用WinRAR的用户点击这里下载安装V5.7版修复漏洞

本文来源 360TI,由 山外的鸭子哥 整理编辑,其版权均为 360TI 所有,文章内容系作者个人观点,不代表 蓝点网 对观点赞同或支持。如需转载,请注明文章来源。
1
OR
哇哦恭喜您已成功屏蔽了蓝点网的小广告

评论:

8 条评论,访客:6 条,站长:2 条
  1. 空灵入耳
    空灵入耳发布于: 
    Google Chrome 74.0.3729.6 Google Chrome 74.0.3729.6 Windows 10 64位版 Windows 10 64位版

    或者MangaMeeya, 也是一代神器, 老司机必备….

  2. 空灵入耳
    空灵入耳发布于: 
    Google Chrome 74.0.3729.6 Google Chrome 74.0.3729.6 Windows 10 64位版 Windows 10 64位版

    说得好, 我用蜂蜜浏览器看压缩包图片

  3. heimiao
    heimiao发布于: 
    Google Chrome 71.0.3578.98 Google Chrome 71.0.3578.98 Windows 7 64位版 Windows 7 64位版

    666啊

  4. 川普
    川普发布于: 
    Google Chrome 73.0.3683.75 Google Chrome 73.0.3683.75 Windows 10 64位版 Windows 10 64位版

    鸭子哥,我在gravatar添加了头像,这里显示不出来?是要再做什么设置吗

    • 山外的鸭子哥
      山外的鸭子哥发布于: 
      Google Chrome 73.0.3683.75 Google Chrome 73.0.3683.75 Windows 10 64位版 Windows 10 64位版

      不需要 等待蓝点网缓存服务器刷新即可

  5. 颜兮
    颜兮发布于: 
    Google Chrome 73.0.3683.75 Google Chrome 73.0.3683.75 Windows 10 64位版 Windows 10 64位版

    我一直用WinRAR,怎么没遇到,不过我保持自己电脑中的版本与官网最新商业版一致。

  6. speciend
    speciend发布于: 
    Google Chrome 69.0.3497.100 Google Chrome 69.0.3497.100 Windows 10 64位版 Windows 10 64位版

    用的7z呀

发表评论