一、概述

自从WinRAR被爆出高危漏洞（CVE-2018-20250）以来，因为该漏洞简单易用，备受攻击者青睐。攻击者精心构造恶意ACE文件进行投递后，只要受害者解压文件，然后重启电脑，系统便会自动执行攻击者投递的恶意木马。近日，腾讯御见威胁情报中心捕获到几例利用CVE-2018-20250漏洞进行传播的新样本，具体分析见下文。 

二、样本分析

1、利用多重压缩包嵌套企图逃避杀毒软件的查杀，同时通过投递多个木马增加木马被执行的概率，相关分析如下：

样本母体包含了一个压缩包文件project.zip和الشرح.scr。الشرح.scr是伪装成屏保文件的Androm后门木马，project.zip则为实际利用CVE-2018-20250漏洞的恶意ACE文件，解压即可看到它在系统启动项目录释放名为int-driver.exe的Androm后门木马。Androm木马通常从C2服务器接收攻击者指令，根据指令盗取受害主机数据，或者投递其他恶意木马。

2、压缩包内包含大量热门游戏账号密码，或暗网泄露的google邮箱账号密码，诱导受害者解压恶意文件，相关分析如下：

       以样本5c3fe67603e0ae93f1b728edc03c6ab2为例进行分析。Fornite（堡垒之夜）是一款非常热门的第三人称射击游戏，而”Smash Fornite Dance”则是堡垒之夜中风靡一时的舞蹈挑战，想要角色跳出不同的舞蹈动作，需要游戏账号有相应的皮肤。攻击者以此为诱饵，欺骗目标用户解压。

压缩包中包含了多个txt文件，每个txt文件按照皮肤分类命名，而每个txt文件又包含了大量明文的账号密码。

如果受害者对这些大量的游戏账号密码感兴趣，则很有可能进行解压操作。解压后Tinynuke银行木马将会被释放到系统启动项目录。

TinyNuke（又名Nuclear Bot）是一个功能非常强大的银行木马。它具备反向sock代理、隐藏CNC、UAC绕过、Windows防火墙绕过、Rootkit等功能模块。除此之外，它还可以在受害者访问银行网站时窃取密码并注入任何内容，同时还自带了Bot-killer（一种迷你防火墙），用于清除受害主机上的其他恶意软件。

3、伪装成报价单的恶意ACE文件样本

攻击者伪装成Elite公司的员工向位于巴西的服装公司piabacamisas发送钓鱼邮件，并索要报价单，邮件附件为“PurchasedOrder.ace“文件。

解压该ACE文件后，并没有像预期一样，释放恶意木马到系统启动项目录。将该ACE文件与CVE-2018-20250漏洞利用文件进行对比，发现“Purchased Order.ace“并不是有效的CVE-2018-20250漏洞利用样本。

解压目录下，只有一个伪装为office文档的exe文件，该文件实际是Lokibot木马，运行后会从C2服务器hxxp://tvliked.com/m/fre.php接收攻击者指令，根据指令盗取受害主机数据，或者投递其他恶意木马。

三、安全建议

1、将WinRAR等压缩工具软件更新到最新版本，可通过腾讯电脑管家的软件管理功能，升级你正在使用的压缩解压缩工具。

2、可以直接删除WinRAR或其他压缩工具安装目录下的UNACEV2.DLL文件，但会造成ACE文件无法使用（其实ACE格式解不了问题不大，WinACE公司都关门十多年了，这么老的压缩格式，不支持了也没什么大不了）

3、切勿随意打开未知文件。

四、IOCs

IP

47.254.79.13

200.63.45.154

DOMAIN

tvliked.com

buyproxies.su

sushantshome.tripod.com

henurl.com

MD5

a557414fa6e7e086fd7b4d0aca4aab0e

15977cdf04cb02fe0f29f1d282a7a5a6

42e14de347bac9ec8a78da00964d13bf

2b0b8fe24ef2e55c4957649f2294499b

1a443c2fee7c2032549bdefc98f0e9e0

807dce80efc499c9cb752a83299e3254

d9605700f846aaf6935cc45b0dabed40

0627c18aa48366c4411acaf85b491ed8

URL

hxxp://tvliked.com/m/fre.php

hxxp://buyproxies.su/ssl

hxxp://sushantshome.tripod.com

hxxp://henurl.com/bit.zip

hxxp://henurl.com/2019-bitcoin-tricks-pdf-book.zip