Malware esconde-se em ficheiros SFX do WinRAR
O WinRAR é um dos programas mais usados para a compressão e descompressão de ficheiros, em parte devido ao seu reconhecido “trial infinito”. No entanto, para além da versão que existe para os consumidores em geral, este também pode ser usado em vários programas de instalação, para criar o que é conhecido como arquivos SFX.
Basicamente, os ficheiros SFX são arquivos de instalação que se baseiam no WinRAR para comprimir e descomprimir os conteúdos. Estes podem ser usados sem que o WinRAR esteja instalado nos sistemas – o funcionamento é similar ao de um programa de instalação regular.
A ideia destes ficheiros será ter uma forma de os utilizadores distribuírem arquivos comprimidos sem que seja necessário um programa para descomprimir os mesmos.
No entanto, de acordo com uma investigação feita pela empresa de segurança CrowdStrike, foi identificada uma falha que está a ser aproveitada para ataques de malware, e que explora exatamente os arquivos SFX.
Explorando a falha, os atacantes podem criar arquivos SFX maliciosos, capazes de correr código PowerShell sobre o sistema e de forma praticamente indetetável. Este código pode ser utilizado para correr malware sobre o sistema, ou abrir as portas para outros géneros de ataques. Os ficheiros SFX podem até nem conter qualquer género de malware no seu interior, portanto iriam aparentar como estando “seguros”.
No entanto, a falha aproveita a forma como a extração de conteúdos é feita para correr código PowerShell silenciosamente no sistema, que pode ter consequências graves. Os investigadores apontam que, tendo em conta a forma como o bug é explorado, será improvável que a maioria dos softwares de segurança sejam capazes de identificar malware nos arquivos.
Os investigadores alertam ainda para o facto que existem ataques a explorar esta falha, portanto deve-se ter bastante cuidado sobre o género de conteúdos que são executados nos sistemas, sobretudo que tenham origem em locais desconhecidos.