Az orosz kapcsolt hackercsoportok kiaknázzák a kritikus nulla napos sebezhetőséget a népszerű Winrar fájl-tömörítési segédprogramban, és a felhasználók millióit veszélyeztetik. A CVE-2025-8088-ként azonosított hiba lehetővé teszi a támadók számára, hogy rosszindulatú kódot hajtsanak végre a Target rendszerén, amikor egy speciálisan kidolgozott archív fájlt nyitnak. href=”https://www.welivessecurity.com/en/eset-research/update-winrar-tools-now-és-thers-other-exploit-zero-dilnerability/”tányér=”_ üres”> a romcomcom Cybercrime Group . A Winrar fejlesztője azóta released version 7.13 to patch the vulnerability. Az alkalmazás azonban nem frissül automatikusan, és megköveteli a felhasználók számára a javítás kézi telepítését. A Winrarban az automatikus frissítésű szolgáltatás hiánya jelentősen kiszélesíti a fenyegetéses szereplők lehetőségét az adathalászkampányok sikeressé. Hasznosítás
A sebezhetőséget az ESET kutatói először 2025. július 18-án észlelték, aki megfigyelte a unusual file activity pointing to a new exploit. Miután megerősítették a viselkedést, felelősségteljesen nyilvánosságra hozták a hibát a Winrar fejlesztőinek július 24-én, egy olyan lépés, amely gyors választ váltott ki. A hiba most hivatalosan A nemzeti sebezhetőségi adatbázisban CVE-20125-8088 . Felfedezése folytatja a biztonsági kérdések zavaró tendenciáját a mindenütt jelenlévő fájl-archiverben, amely továbbra is nagy értékű célpont a számítógépes bűnözők számára. This class of flaw allows an attacker to write files to arbitrary locations on a victim’s computer, bypassing standard security restrictions. A támadás egy rosszindulatú archív fájlt tartalmazó adathalász e-mailvel kezdődik. Az elsődleges cél a Windows Startup Directory, amely biztosítja, hogy a programok automatikusan működjenek a bejelentkezéskor. Miután a rosszindulatú programokat az indítási mappába ültetik, az automatikusan fut, amikor a felhasználó a Windows-ba jelentkezik, és távoli kód végrehajtásához vezet, és a támadó vezérlését biztosítja. This group has a history of leveraging zero-days to deploy custom backdoors and steal data. Peter Strýček kutató szerint: „Ezek az archívumok kihasználták a CVE-2025-8088-at a Romcom Backdoors szállítására. A Romcom Oroszországba igazított csoport.”
A csoport kifinomultsága figyelemre méltó. Az ESET elemzése kimondja: „A korábban ismeretlen nulla napos sebezhetőség kiaknázásával a Winrarban a Romcom csoport bebizonyította, hogy hajlandó komoly erőfeszítéseket és erőforrásokat fektetni a kiberoperációba.”Disturbingly, RomCom isn’t alone. A Bi.Zone orosz biztonsági cég arról számolt be, hogy egy második csoportot, a Paper Werwolf vagy a Goffee néven ismert, a CVE-2025-8088 kizsákmányolását a saját kampányaiban is kizsákmányolták. The tool has a history of critical vulnerabilities that were actively exploited in the wild. 2023-ban egy másik hibát, a CVE-2023-38831-et használták Oroszországból és Kínából származó állami támogatású hackerek. Ezek az ismételt események éles emlékeztetőként szolgálnak a nem következetesen nem frissített szoftverekkel kapcsolatos kockázatokra. Ahogyan a Google fenyegetési elemző csoportja korábban kommentálta a Winrar kizsákmányolását, „… a folyamatban lévő kizsákmányolás […]„ kiemeli, hogy az ismert sebezhetőségek kizsákmányolása nagyon hatékony lehet “, mivel a támadók a lassú javítási sebességeket használják az előnyükhöz.”A támadók megértik ezt a felhasználói viselkedést, és kampányokat építenek körülötte, tudva, hogy a kiszolgáltatott célok nagymértékű készlete hónapokig fennmarad. All users are strongly advised to download and install WinRAR 7.13 or newer immediately.
