Уязвимост в WinRAR се експлоатира активно от хакери

Свидетели сме на поредния случай на значителна уязвимост в популярно приложение. Става дума за пропуск от тип нулев ден (zero-day) в програмата за компресиране на файлове WinRAR. Уязвимостта се експлоатира активно от две руски киберпрестъпни групи, като при атаките се прониква в компютри, които отварят злонамерени архиви, прикачени към фишинг съобщения, някои от които са персонализирани.

Атаките са засечени от експерти на ESET на 18 юли, когато телеметрия на компанията е открила файл в необичайна директория. До 24 юли ESET е установила, че поведението е свързано с експлоатацията на неизвестна уязвимост в WinRAR, която има около 500 млн. инсталации. ESET е уведомила разработчиците на WinRAR в същия ден, а шест дни по-късно е пуснато решение за проблема.

Уязвимостта злоупотребява с алтернативни потоци от данни, функция на Windows, която позволява различни начини за представяне на една и съща файлова пътека. Експлойтът я използва, за да задейства преди това неизвестна грешка в преминаването по пътеката, която караше WinRAR да въвежда злонамерени изпълними файлове в избрани от хакера локации.

ESET заяви, че е установила, че атаките са дошли от RomCom, нейното проследяващо обозначение за престъпна група с финансови мотиви, действаща от Русия. Групата е активна от години в атаки, които демонстрират способността ѝ да се сдобива с експлойти и да изпълнява доста сложни операции. Уязвимостта се проследява като CVE-2025-8088.

Това е поне третият път, в който RomCom използва уязвимост от типа „нулев ден“ в реални условия, посочват от ESET. Това обаче не е единствената група, която използва CVE-2025-8088. Според руската компания за сигурност Bi.ZONE, същата уязвимост е била активно използвана от група, която тя проследява като Paper Werewolf. Тя е доставила експлойтите през юли и август чрез архиви, прикачени към имейли, които се представяха за служители на Всеруския изследователски институт. Крайната цел е била да се инсталира зловреден софтуер, който да даде на Paper Werewolf достъп до заразените системи.

Въпреки че откритията на ESET и BI.ZONE са независими едно от друго, не е известно дали групите, които експлоатират уязвимостите, са свързани или са придобили знанията от един и същ източник.

Уязвимостите на WinRAR са били използвани и преди за инсталиране на зловреден софтуер. Такива случаи има от 2019 г. и 2023 г., като и при тях е имало прозорец, в който хакерите са се възползвали без да бъдат обезпокоявани. На фона на огромната си база от потребители, WinRAR е идеален инструмент за разпространение на зловреден софтуер, тъй като програмата няма автоматизиран механизъм за инсталиране на нови актуализации. Това означава, че потребителите трябва активно да изтеглят и инсталират актуализациите сами.