Bi.zone dijo que el hombre lobo de papel entregó las hazañas en julio y agosto a través de archivos adjuntos a correos electrónicos que se hacen sobrevenir por empleados del Instituto de Investigación All-Rusia. El objetivo final era instalar malware que le dio camino a los sistemas infectados de papel a los sistemas infectados.

Si aceptablemente los descubrimientos de ESET y Bi.Zone eran independientes entre sí, se desconoce si los grupos que explotan las vulnerabilidades están conectados o adquiridos el conocimiento de la misma fuente. Bi.zone especuló que el hombre lobo de papel puede ocurrir adquirido las vulnerabilidades en un foro de crimen de mercado equívoco.

Eset dijo que los ataques que observó siguieron tres cadenas de ejecución. Una cautiverio, utilizada en ataques dirigidos a una ordenamiento específica, ejecutó un archivo DLL malvado oculto en un archivo utilizando un método conocido como COM secuestro Eso hizo que fuera ejecutado por ciertas aplicaciones como Microsoft Edge. Parecía esto:

Ilustración de la cautiverio de ejecución que instala el agente mítico.

Crédito: ESET

El archivo DLL en el archivo descifrado de shellcode integrado, que recuperó el nombre de dominio para la máquina contemporáneo y la comparó con un valía codificado. Cuando los dos coincidieron, el shellcode instaló una instancia personalizada del Agente mítico Entorno de explotación.

Una segunda cautiverio ejecutó un ejecutable malvado de Windows para entregar una carga útil final que instala Snipbot, una estancia conocida de malware rom. Bloqueó algunos intentos de analizar forense al finalizar cuando se abrió en una máquina posible o Sandbox vacía, una actos global entre los investigadores. Una tercera cautiverio hizo uso de otras dos piezas conocidas de malware rom, una conocida como Rustyclaw y la otra Fusión.

Las vulnerabilidades de Winrar se han explotado previamente para instalar malware. Una vulnerabilidad de ejecución de código de 2019 estuvo bajo una amplia explotación en 2019 poco posteriormente de ser reparada. En 2023, un día cero de Winrar fue explotado durante más de cuatro meses antiguamente de que se detectaran los ataques.

Adicionalmente de su masiva almohadilla de usuarios, Winrar es un transporte valentísimo para difundir malware porque la utilidad no tiene un mecanismo automatizado para instalar nuevas actualizaciones. Eso significa que los usuarios deben activamente descargar e instalar parches por su cuenta. La multitud debería mantenerse alejada de todas las versiones de Winrar antiguamente de 7.13, que, en el momento en que esta publicación se puso en marcha, era la más contemporáneo. Tiene soluciones para todas las vulnerabilidades conocidas, aunque dada el flujo aparentemente interminable de los días cero de Winrar, no es una gran seguridad.