Update WinRar Sekarang untuk Cegah Password Dicuri

Malware tersebut berkamuflase sebagai proof-of-concept (PoC/pengujian internal) palsu. Pengguna WinRar diharapkan segera melakukan pembaruan (update) aplikasi ke versi 6.23.

Berdasarkan temuan dari peneliti keamanan siber dari Palo Alto Network, hacker mengunggah sepotong kode berbahaya ke GitHub, laman koding sumber terbuka (open-source) pada 21 Agustus lalu.

“PoC palsu itu bertujuan untuk mengeksploitasi kerentanan WinRar didasarkan pada skrip PoC yang tersedia untuk publik, yakni dengan menginjeksi SQL dalam aplikasi yang disebut sebagai GeoServer. Kerentanan dilacak sebagai CVE-2023-40477,” ujar peneliti siber.

Celah keamanan (bug) CVE-2023-40477 memungkinkan hacker menjalankan kode artbitrer. Hal ini dapat terjadi jika korban membuka file berformat RAR dengan aplikasi WinRar versi lawas (di bawah versi 6.23).

Jika malware tersebut masuk ke dalam sistem Windows, malware bakal merekam seluruh penekanan tombol yang dipencet pengguna, lalu menuliskan file teks tersebut yang disimpan secara lokal.

Malware ini dirancang untuk menyebar muatan dan mencuri kode kredensial. Pengguna harus segera mengganti semua kata sandi (password) dari semua website ataupun aplikasi yang dimiliki.

Serangan semacam ini diduga sudah disiapkan jauh sebelum pengumuman kerentanan di WinRar. Hacker diduga menunggu waktu yang tepat untuk menyebar kode PoC palsu, sebagaimana dikutip KompasTekno dari Bleeping Computer, Senin (25/9/2923).

Manfaatkan momen

Sedikit mundur ke belakang, celah keamanan ini sudah ditemukan dan diungkap pada 8 Juni 2023 oleh perusahaan yang berfokus pada masalah kerentanan software, Trend Micro. Namun, laporan ini baru diungkap ke publik setelah 17 Agustus 2023.

Pihak WinRar telah memperbaiki masalah keamanan tersebut di WinRar versi 6.23 yang update-nya telah digelontorkan pada 2 Agustus 2023.

Selama masa perbaikan, hacker dilaporkan memanfaatkan kesempatan dengan menyebar sepotong kode berbahaya di GitHub. Kode tersebut disebar empat hari setelah temuan kerentanan Zero Day Intiative Trend Micro.

Hacker mengklaim bahwa potongan kode tersebut merupakan tambalan (patch) untuk memperbaiki permasalahan di WinRar. Padahal, kode tersebut ditujukan untuk menyebar malware dan menciptakan kerentanan yang baru.

Agar kode tersebut terlihat valid seperti kode asli, hacker turut menyertakan file Readme dan video tutorial cara menggunakan kode PoC yang ternyata palsu. File Readme merupakan file teks yang dipakai untuk memperkenalkan dan menjelaskan sebuah proyek atau software.

Usut demi usut, saat menjalankan skrip PoC tersebut, sistem akan membuat skrip batch untuk mengunduh PowerShell yang sudah dikodekan. Skrip bakal mengunduh malware VenomRAT dan membuat tugas terjadwal setiap tiga menit.

Per akhir 20202, para peneliti sudah menemukan ribuan repositori di GitHub yang berisikan kode PoC palsu.

Kode tersebut ditargetkan untuk menyebar malware, mengunduh skrip PowerShell berbahaya, mencuri informasi secara tersembunyi, dan aktivitas berbahaya lain.