Cybercriminelen maken gebruik van een recent onthuld beveiligingslek in het populaire archiveringsprogramma WinRAR om internetgebruikers met een backdoor te infecteren. De aanval begint met een e-mail die als bijlage een kwaadaardig RAR-bestand heeft.

Dit RAR-bestand maakt misbruik van een kwetsbaarheid in WinRAR om een exe-bestand in de Startup-map van Windows te plaatsen. Zodra het slachtoffer zijn computer herstart wordt het exe-bestand uitgevoerd en is het systeem besmet met een backdoor. Naast het openen van het RAR-bestand met een kwetsbare WinRAR-versie moet ook User Account Control (UAC) zijn uitgeschakeld om de aanval te laten slagen.

Het probleem in WinRAR werd veroorzaakt door een DLL-library voor het uitpakken van ACE-bestanden. ACE is net als ZIP en RAR een archiefformaat. De library in kwestie was al 14 jaar niet meer bijgewerkt en bevatte verschillende kwetsbaarheden. Hierdoor was het in het ergste geval mogelijk voor een aanvaller om via een kwaadaardig archief een bestand, bijvoorbeeld malware, in de Startup-map van Windows te plaatsen.

Aangezien de gebruikte DLL-library al sinds 2005 niet meer wordt ondersteund en het WinRAR-team geen toegang tot de broncode heeft werd besloten om de ondersteuning van ACE uit veiligheidsoverwegingen in WinRAR 5.70 en nieuwer te stoppen.

Volgens de ontwikkelaars van WinRAR wordt het programma door meer dan 500 miljoen mensen wereldwijd gebruikt. Onlangs publiceerde anti-virusbedrijf Avast onderzoek onder 163 miljoen computers dat laat zien dat WinRAR na Google Chrome en Adobe Reader de meest geïnstalleerde software op Windows-computers is. 71 procent van de WinRAR-installaties is echter verouderd en kwetsbaar voor aanvallers. De aanval met het malafide WinRAR-bestand werd ontdekt door securitybedrijf 360. De onderzoekers stellen dat het mogelijk om de eerste malware gaat die via een WinRAR-lek wordt verspreid.