Vous utilisez WinRAR ? Faites attention, ce logiciel malveillant est en circulation

Attention, un logiciel malveillant se promène ! Posté sur GitHub, ce malware se fait passer pour le PoC d’une faille WinRAR. Il se montre très dangereux en dérobant notamment ce que vous tapez sur votre clavier.

winrar faille malware poc preuve de concept venomrat

WinRAR a beau être un logiciel plébiscité et utilisé depuis des années, des failles existent. L’une d’elles a été comblée après 19 ans d’existence et aujourd’hui, nouvelle affaire. Un pirate (ou plusieurs) a essayé de distribuer le logiciel malveillant VenomRAT en le faisant passer pour une preuve de concept (PoC) d’une vulnérabilité de WinRAR.

À lire > Windows 11 : vous utilisez toujours WinRAR ? Mettez-le à jour immédiatement

Un faux PoC qui télécharge un véritable malware

La vulnérabilité CVE-2023-40477 touche les versions de WinRAR antérieures à la version 6.23. Elle a été découverte en juin 2023 lors de l’initiative Zero Day de Trend Micro puis corrigée fin août de la même année par la version 6.23.

Peu après la divulgation de la faille, un pirate a téléchargé un morceau de code sur GitHub en prétendant qu’il s’agit d’une PoC pour la faille. En réalité, le code télécharge un code PowerShell qui, à son tour, récupère le logiciel malveillant VenomRAT.

De quoi est-il capable ? Enregistrez les frappes du clavier (donc récupérer des identifiants bancaires ou des mots de passe, par exemple), lister les applications installées et les processus actifs. Si vous avez téléchargé cette fausse PoC, changez vite vos mots de passe !

Depuis, le compte utilisateur qui a téléchargé la fausse PoC sur GitHub a été désactivé. Mais les chercheurs en cybersécurité de Unit 42 préviennent qu’il pourrait essayer la même chose à l’avenir avec une vulnérabilité différente.

À lire > Windows 11 va ajouter le support natif des fichiers RAR

De plus en plus de pirates ciblent GitHub

GitHub est devenu une cible majeure pour les pirates informatiques. Ces personnes malveillantes tentent de tromper les développeurs en leur faisant télécharger des logiciels malveillants en utilisant l’usurpation d’identité ou le typosquatting [ndlr, utiliser des noms de domaine similaires à ceux de sites légitimes].

Dernière, un malware s’est retrouvé sur GitHub (et Telegram) en se faisant passer pour Netflix et YouTube. Un conseil : faites toujours attention à ce que vous téléchargez, même sur les plateformes de confiance.