Οι ομάδες hacking που συνδέονται με τη ρωσική συσσώρευση εκμεταλλεύονται μια κρίσιμη ευπάθεια μηδενικής ημέρας στο δημοφιλές βοηθητικό πρόγραμμα συμπίεσης αρχείων WinRar, θέτοντας σε κίνδυνο εκατομμύρια χρήστες. Το ελάττωμα, που αναγνωρίζεται ως CVE-2025-8088, επιτρέπει στους επιτιθέμενους να εκτελούν κακόβουλο κώδικα στο σύστημα ενός στόχου όταν ανοίγουν ένα ειδικά κατασκευασμένο αρχείο αρχειοθέτησης. href=”https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/”target=”_ blank”> Ο προγραμματιστής της WinRar έχει από τότε Κυκλοφόρησε έκδοση 7.13 για να τοποθετήσετε την ευπάθεια . Ωστόσο, η εφαρμογή δεν ενημερώνεται αυτόματα, απαιτώντας από τους χρήστες να εγκαθιστούν με μη αυτόματο τρόπο τη λύση. Η έλλειψη ενός χαρακτηριστικού auto-update στο WinRar διευρύνει σημαντικά το παράθυρο της ευκαιρίας για τους ηθοποιούς απειλής να επιτύχουν με τις εκστρατείες phishing τους. Η ευάλωτη θέση εντοπίστηκε για πρώτη φορά στην άγρια φύση από τους ερευνητές του ESET στις 18 Ιουλίου 2025, οι οποίοι παρατήρησαν ασυνήθιστη δραστηριότητα αρχείου που δείχνει μια νέα εκμετάλλευση . Αφού επιβεβαίωσαν τη συμπεριφορά, αποκάλυψαν υπεύθυνα το ελάττωμα στους προγραμματιστές της Winrar στις 24 Ιουλίου, μια κίνηση που προκάλεσε μια γρήγορη απάντηση. Το ελάττωμα είναι πλέον επίσημα που παρακολουθείται στη βάση δεδομένων της εθνικής ευπάθειας ως CVE-2025-8088 . Η ανακάλυψή του συνεχίζει μια ανησυχητική τάση των ζητημάτων ασφαλείας στον πανταχού παρόντα αρχιτεκτονικό αρχείου, ο οποίος παραμένει ένας στόχος υψηλής αξίας για τον κυβερνοχώρο. Αυτή η κατηγορία ελαττώματος επιτρέπει σε έναν εισβολέα να γράφει αρχεία σε αυθαίρετες τοποθεσίες στον υπολογιστή ενός θύματος, παρακάμπτοντας τους τυπικούς περιορισμούς ασφαλείας. Η επίθεση αρχίζει με ένα ηλεκτρονικό μήνυμα ηλεκτρονικού”ψαρέματος”που περιέχει ένα κακό αρχείο αρχειοθέτησης. Ο πρωταρχικός στόχος είναι ο κατάλογος εκκίνησης των Windows, μια τοποθεσία που εξασφαλίζει ότι τα προγράμματα εκτελούνται αυτόματα σε σύνδεση. Μόλις φυτευτεί το κακόβουλο λογισμικό στο φάκελο εκκίνησης, θα τρέξει αυτόματα την επόμενη φορά που ο χρήστης θα συνδεθεί στα Windows, οδηγώντας σε απομακρυσμένη εκτέλεση κώδικα και δίνει τον έλεγχο του επιτιθέμενου. Αυτή η ομάδα έχει ιστορικό μόχλευσης μηδενικών ημερών για την ανάπτυξη προσαρμοσμένων backdoors και κλέβει δεδομένα. Σύμφωνα με τον ερευνητή Peter Strýček,”αυτά τα αρχεία εκμεταλλεύτηκαν το CVE-2025-8088 για να παραδώσουν τα backdoors Romcom. Η Romcom είναι μια ομάδα ευθυγραμμισμένη στη Ρωσία.”Η ανάλυση του ESET δηλώνει:”Με την εκμετάλλευση μιας προηγουμένως άγνωστης ευπάθειας μηδενικής ημέρας στο Winrar, η ομάδα Romcom έχει δείξει ότι είναι πρόθυμη να επενδύσει σοβαρές προσπάθειες και πόρους στις κυβερνοεπίνες της”. Ανησυχώντας, η Romcom δεν είναι μόνη. Η ρωσική εταιρεία ασφαλείας Bi.zone ανέφερε ότι μια δεύτερη ομάδα, γνωστή ως χαρτί Werewolf ή Goffee, βρέθηκε επίσης εκμετάλλευση CVE-2025-8088 στο κέντρο της. Το εργαλείο έχει ιστορικό κρίσιμων τρωτών σημείων που εκμεταλλεύτηκαν ενεργά στην άγρια φύση. Το 2023, ένα άλλο ελάττωμα, CVE-2023-38831, χρησιμοποιήθηκε από τους χάκερς που υποστηρίζονται από το κράτος από τη Ρωσία και την Κίνα. Αυτά τα επαναλαμβανόμενα περιστατικά χρησιμεύουν ως έντονη υπενθύμιση των κινδύνων που σχετίζονται με το λογισμικό που δεν ενημερώνεται σταθερά.
Ο πυρήνας του προβλήματος είναι ο αργός ρυθμός των χειροκίνητων ενημερώσεων. Καθώς η ομάδα ανάλυσης απειλών της Google σχολίασε προηγουμένως το WinRar Exploits,”… η συνεχιζόμενη εκμετάλλευση […]”υπογραμμίζει ότι τα εκμεταλλεύματα για γνωστές ευπάθειες μπορεί να είναι εξαιρετικά αποτελεσματικές”καθώς οι επιτιθέμενοι χρησιμοποιούν αργά ποσοστά επιδιόρθωσης προς όφελός τους”. Οι επιτιθέμενοι κατανοούν αυτή τη συμπεριφορά των χρηστών και δημιουργούν καμπάνιες γύρω από αυτό, γνωρίζοντας ότι μια μεγάλη δεξαμενή ευάλωτων στόχων θα παραμείνει για μήνες. Όλοι οι χρήστες συμβουλεύονται έντονα να κατεβάσουν και να εγκαταστήσουν αμέσως το WinRar 7.13 ή νεότερο.