WinRAR曝新威胁,黑客可直接运行PowerShell
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
据Bleeping Computer网站报道,网络犯罪分子试图在WinRAR自解压档案中添加恶意功能,滥用utilman.exe来滥用受密码保护的SFX文件,并滥用WinRAR的设置选项以获取系统权限。CrowdStrike建议用户特别注意SFX档案,并使用适当的软件检查档案内容。
🎯
关键要点
- 网络犯罪分子试图在WinRAR自解压档案中添加恶意功能。
- 自解压档案(SFX)包含归档数据和内置解压代码,通常受密码保护。
- CrowdStrike发现SFX被滥用,攻击者利用窃取的凭据和utilman.exe设置后门。
- 利用utilman.exe触发的SFX文件可以运行PowerShell和命令提示符,具有系统权限。
- 攻击者在SFX档案中添加命令,可能成为目标系统的后门。
- 传统反病毒软件可能无法检测到这种类型的攻击。
- 研究人员建议用户特别注意SFX档案,并使用适当的软件检查内容。
➡️
