PARBOABOA - Bagi pengguna WinRAR disarankan untuk segera melakukan update dari sekarang karena hacker atau peretas telah menyebar serangan malware melalui VenomRAT lewat software tersebut.
WinRAR sendiri merupakan salah satu software yang sering digunakan jika sedang mengompres berbagai macam file dan data dengan mudah, aman dan juga cepat.
WinRAR juga mempunyai tingkat keamanan yang cukup terasa apabila ingin menyimpan file-file yang memiliki sifat yang amat rahasia.
Aplikasi ini biasa dan sering dipakai jika ingin membuka file dengan format RAR (.rar) yang berada di komputer atau laptop Windows.
Diketahui, saat ini peretas atau hacker sedang menyebar sebuah serangan lewat malware yang disebut berkamuflase sebagai PoC atau Proof-of-Concept (pengujuan internal) palsu.
Hal inilah yang membuat para pengguna WinRAR harus waspada dan disarankan untuk segera melakukan pembaruan atau update pada aplikasi tersebut ke versi 6.23.
Berdasarkan temuan dari peneliti keamanan siber dari Palo Alto Network, hacker mengunggah sepotong kode berbahaya ke GitHub, laman koding sumber terbuka (open-source) pada 21 Agustus lalu.
“PoC palsu itu bertujuan untuk mengeksploitasi kerentanan WinRar didasarkan pada skrip PoC yang tersedia untuk publik, yakni dengan menginjeksi SQL dalam aplikasi yang disebut sebagai GeoServer. Kerentanan dilacak sebagai CVE-2023-40477,” ujar peneliti siber.
Celah keamanan (bug) CVE-2023-40477 memungkinkan hacker menjalankan kode artbitrer. Hal ini dapat terjadi jika korban membuka file berformat RAR dengan aplikasi WinRar versi lawas (di bawah versi 6.23).
Jika malware tersebut masuk ke dalam sistem Windows, malware bakal merekam seluruh penekanan tombol yang dipencet pengguna, lalu menuliskan file teks tersebut yang disimpan secara lokal.
Malware ini dirancang untuk menyebar muatan dan mencuri kode kredensial. Pengguna harus segera mengganti semua kata sandi (password) dari semua website ataupun aplikasi yang dimiliki.
Serangan semacam ini diduga sudah disiapkan jauh sebelum pengumuman kerentanan di WinRar. Hacker diduga menunggu waktu yang tepat untuk menyebar kode PoC palsu.
Di sisi lain, celah keamanan atau bug dari CVE-2023-40477 itu memungkinkan si hacker telah menjalankan sebuah kode artbitrer.
Hal ini bisa terjadi apabila korban sudah buka file berformat RAR dengan aplikasi WinRAR dengan versi lama atau lawas (sekitar di bawah versi 6.23).
Karena itu, jika malware sudah masuk ke dalam sistem Windows, kemungkinkan malware akan merekam semua penekanan tombol yang telah ditekan pengguna an menuliskan sebuah file teks yang telah disimpan secara lokal.
Menariknya, malware ini dirancang untuk menyebar muatan serta mencuri kode kredensial.
Informasi ini membuat pengguna harus segera mengubah dan mengganti seluruh kata sandi atau password aplikasi maupun website yang masih digunakan.
Serangan itu juga diduga sudah dipersiapkan secara jauh, tepat sebelum adanya pengumuman kerentanan di WinRAR.
Pihak WinRAR juga sudah perbaiki masalah keamanan itu di WinRAR versi 6.23 yang diluncurkan pada 2 Agustus lalu.
Selama di masa perbaikan, hacker tersebut dilaporkan telah memanfaatkan sebuah kesempatan besar dengan menyebar sebagian kode berbahaya ke GitHub.
Kode disebar selama kurun waktu empat hari usai ditemukan kerentanan pada Zero Day Intiative Trend Micro.
Hacker diduga mengklaim jika sebagian potongan kode ini adalah tambalan untuk perbaiki masalah yang ada di WinRAR.
Padahal, kode itu juga memiliki tujuan yang cukup berbahaya karena ingin menyebar malware serta menciptakan kerentanan yang baru.
Supaya kode itu terlihat valid dan macam kode asli, hacker pun turut menyertakan file Readme dan juga video tutorial untuk cara menggunakan kode PoC yang nyatanya palsu.
Sebagai informasi, file Readme adalah file teks yang dipakai untuk menjelaskan dan memperkenalkan salah satu proyek atau software.
Maka saat menjalankan skirp PoC ini, sistem yang buat skrip batch untuk PowerShell sudah dikodekan. Nantinya, skrip itu akan unduh malware VenomRAT dan juga buat tugas terjadwal tiap tiga menit.
Editor: Wanovy