Vulnerabilitatea zero-day din WinRAR, de severitate ridicată, este exploatată activ de două grupuri rusești de criminalitate cibernetică. Aceștia atacă computerele cu aplicații backdoor, care deschid arhive malițioase atașate mesajelor de phishing.
Vulnerabilitatea din WinRAR rămâne nerezolvată
Cea mai populară aplicație de arhivare pentru Windows, WinRAR, ascunde o vulnerabilitate critică, care pune utilizatorii în pericol. Aplicația este în continuare foarte folosită deși acum există suport nativ pentru arhive în Windows direct.
Firma de securitate ESET a anunțat că a detectat pentru prima dată atacurile pe 18 iulie, când datele sale de telemetrie au detectat un fișier într-o cale de director neobișnuită. Până pe 24 iulie, ESET a stabilit că acest comportament era legat de exploatarea unei vulnerabilități necunoscute în WinRAR, un utilitar pentru comprimarea fișierelor, cu o bază instalată de aproximativ 500 de milioane de PC-uri. ESET a notificat dezvoltatorii WinRAR în aceeași zi, iar o soluție a fost lansată șase zile mai târziu.
Vulnerabilitatea părea să aibă superputeri specifice Windows. A abuzat de fluxuri de date alternative, o caracteristică Windows care permite diferite moduri de reprezentare a aceleiași căi de fișier. Aplicația a abuzat de această caracteristică pentru a modifica neautorizat calea de acces, necunoscută anterior, care a determinat WinRAR să planteze fișiere executabile rău intenționate în căile de fișiere alese de atacator %TEMP% și %LOCALAPPDATA%, pe care Windows le interzice în mod normal din cauza capacității lor de a executa cod.
ESET a declarat că a stabilit că atacurile au provenit de la RomCom, denumirea sa de urmărire pentru un grup criminal motivat financiar care operează din Rusia. Grupul cu resurse bogate a fost activ de ani de zile în atacuri care demonstrează capacitatea sa de a obține exploit-uri și de a executa tranzacții destul de sofisticate. Atacul zero-day folosit de grup este acum urmărit ca CVE-2025-8088.
RomCom nu a fost singurul grup care a exploatat CVE-2025-8088. Potrivit firmei de securitate rusești Bi.ZONE, aceeași vulnerabilitate a fost exploatată activ de un grup pe care îl urmărește drept Paper Werewolf. De asemenea, urmărit ca GOFFEE, grupul exploata și CVE-2025-6218, o vulnerabilitate WinRAR separată de severitate ridicată, care a primit o remediere cu cinci săptămâni înainte de actualizarea CVE-2025-8088.
BI.ZONE a declarat că Paper Werewolf a distribuit vulnerabilitățile în iulie și august prin intermediul arhivelor atașate la e-mailuri care se prefăceau a fi de la angajați ai Institutului de Cercetare All-Russian. Scopul final era instalarea unui malware care să ofere Paper Werewolf acces la sistemele infectate.
