利用已知 WinRAR 零日漏洞，黑客组织 SideCopy 锁定弱安全设备发起攻击

图片地址：https://img.ithome.com/newsuploadfiles/2023/11/41ea7ffa-d632-470d-aa07-f7b3a6e48f15.png?x-bce-process=image/format,f_auto

IT之家 11 月 13 日消息，软件开发商 RARLab 于今年 7 月修复了 WinRAR 的零日漏洞 CVE-2023-38831，不过有安全公司 Seqrite 指出，日前依然有多名 SideCopy 黑客组织成员利用这项漏洞，对还未来得及修复的电脑发动攻击，对这些电脑部署 AllaKore RAT、DRat、Ares RAT 变种等恶意木马。黑客先是通过网络钓鱼手法，引诱用户下载钓鱼 PDF 文件，但 PDF 实际上是伪装的 Windows LNK 可执行文件，一旦受害者打开了 PDF 文件，木马就会开始分析电脑安装的.NET 版本、 杀毒软件信息，然后使用 Base64，以 DLL 侧载（DLL Side-loading）方式启动恶意 DLL 库。▲ 钓鱼 PDF 文件，图源 Seqrite▲ 钓鱼 PDF