สัปดาห์ที่แล้วมีรายงานการค้นพบช่องโหว่ร้ายแรงบน WinRAR ที่ทำให้แฮกเกอร์แตกไฟล์มุ่งร้ายที่ไหนก็ได้ในเครื่อง ล่าสุดมีรายงานจาก 360 Threat Intelligent Center ว่ามีแฮกเกอร์ใช้ช่องโหว่นี้แพร่มัลแวร์แล้ว โดยใช้รูปนางแบบในชุดว่ายน้ำหรือรูปนู้ดเป็นตัวล่อ

แน่นอนตัวไฟล์เป็นฟอร์แมต ACE แม้จะใช้นามสกุลไฟล์เป็น .rar ขณะที่ไฟล์ข้างในเมื่อกดดูพรีวิวจะพบว่าเป็นไฟล์รูปนางแบบในชุดว่ายน้ำหรือรูปโป๊หลายรูป เนื่องจากการกดพรีวิวทีละรูปจาก WinRAR ทำได้ลำบาก ผู้ใช้จึงมีแนวโน้มจะแตกไฟล์ทั้งหมดออกมา โดยมีไฟล์ OfficeUpdateService.exe ถูกแตกออกมาพร้อมกันและจะไปอยู่ที่ %AppData%\Microsoft\Windows\Start Menu\Programs\Startup ซึ่งจะทำงานหลังผู้ใช้รีสตาร์ทหรือล็อกอินเข้ามาใหม่

ตัวอย่างไฟล์ที่แฮกเกอร์เอามาล่อ

OfficeUpdateService.exe เป็นโปรแกรม backdoor เปิดทางให้แฮกเกอร์เข้าควบคุมเครื่องจากระยะไกล สามารถสั่งงานฟังก์ชันหลักๆ ของเครื่องได้ อาทิ สั่งชัตดาวน์, รีสตาร์ท, อัพโหลดดาวน์โหลดไฟล์, สั่ง remote shell ไปจนถึงติดตั้งโทรจัน

นอกจากเคสนี้แล้วนักวิจัยยังเจอแพทเทิร์นการโจมตีคล้ายๆ กัน แต่อยู่ในรูปของไฟล์หางานที่แพร่ระบาดในซาอุดิอาระเบีย เป็นต้น พร้อมเตือนว่านี่อาจเป็นแค่ช่วงเริ่มต้นของการโจมตีช่องโหว่นี้ พร้อมแนะนำให้ผู้ใช้ WinRAR อัพเดตเวอร์ชันล่าสุด หรือหากอัพเดตไม่ได้ก็สามารถลบไลบรารี UNACEV2.DLL ออกได้เลย ซึ่งจะไม่กระทบการใช้งานทั่วไปแค่ไม่สามารถแตกไฟล์ .ace ได้เท่านั้น

ที่มา - 360 Threat Intelligent Center