Exploit Zero-Day en WinRAR afecta a empresas europeas y canadienses

Una campaña de ciberataques sofisticada está explotando una vulnerabilidad desconocida en WinRAR, la popular herramienta de compresión de archivos, para atacar empresas en Europa y Canadá. Según investigadores de seguridad, este exploit zero-day lleva varias semanas activo y permite a los atacantes ejecutar código malicioso cuando las víctimas abren archivos RAR especialmente manipulados.

Los ataques muestran un nivel preocupante de coordinación, con actores de amenazas seleccionando cuidadosamente instituciones financieras, bufetes legales y empresas manufactureras. Análisis forenses sugieren que los atacantes realizaron un extenso reconocimiento para identificar objetivos de alto valor antes de lanzar sus campañas.

Análisis Técnico:
La vulnerabilidad (CVE-2023-40477) se encuentra en el procesamiento de volúmenes de recuperación de WinRAR, donde una validación inadecuada de las cabeceras de archivo permite la corrupción de memoria. La explotación exitosa otorga a los atacantes los mismos privilegios que el usuario conectado, observándose la entrega de troyanos de acceso remoto (RATs) y robadores de información.

Estrategias de Mitigación:

Impacto Empresarial:
Los ataques han afectado especialmente a organizaciones con sistemas heredados donde WinRAR sigue siendo parte fundamental de procesos empresariales. Muchas víctimas utilizaban versiones obsoletas debido a requisitos de compatibilidad con software especializado de sus industrias.

Los equipos de seguridad deben priorizar la revisión de todos los sistemas con instalaciones de WinRAR, prestando especial atención a las estaciones de trabajo utilizadas por departamentos financieros y legales, que parecen ser los principales objetivos en esta campaña.