Google upozorava: hakeri i dalje koriste zakrpljenu ranjivost u WinRAR-u za širenje malvera

Vesti, 29.01.2026, 12:00 PM

Google Threat Intelligence Group (GTIG) je upozorio da državni hakeri i kriminalne grupe zloupotrebljavaju grešku u popularnom WinRAR-u, poznatu kao CVE-2025-8088.

Iako je ranjivost zakrpljena još u julu 2025. godine, veliki broj korisnika i dalje koristi nezaštićene verzije softvera, ostavljajući svoje sisteme izloženim napadima.

Napadači koriste tehniku „path traversal“, koja omogućava da arhiva izgleda kao bezazlen dokument, dok se zlonamerni fajl u pozadini raspakuje direktno u Startup folder operativnog sistema. Pošto se programi iz tog foldera automatski pokreću pri svakom prijavljivanju korisnika, napadači na taj način dobijaju trajni i neprimetni pristup računaru.

O ovoj ranjivosti se prvi put javno govorilo 2025. godine, kada ju je otkrila kompanija ESET. Tada su je napadači koristili za pokretanje proizvoljnog koda i preuzimanje potpune kontrole nad računarima žrtava, a rane kampanje su se oslanjale na phishing mejlove za isporuku RomCom backdoor malvera.

Nova analiza GTIG-a pokazuje da se od tada ranjivost počela koristiti u znatno širem spektru napada.

Prema navodima istraživača, ranjivost su iskoristile i neke od najpoznatijih hakerskih grupa. APT44 (Sandworm) i Turla su je koristile u napadima na vladine i vojne institucije u Ukrajini. Turla je koristila mamce povezane sa operacijama dronova za isporuku malvera STOCKSTAY, dok je grupa TEMP.Armageddon (poznata i kao CARPATHIAN) koristila propust za isporuku HTA downloader fajlova.

Grupa povezana sa Kinom koristila je ranjivost za isporuku BAT fajlova koji su kasnije instalirali malver POISONIVY.

Posebno se izdvaja RomCom grupa, poznata i kao UNC4895, koja je jedinstvena po tome što kombinuje klasičnu špijunažu sa finansijski motivisanim napadima.

GTIG navodi da su tokom decembra i januara 2026. godine kriminalne grupe nastavile da distribuiraju tzv. „commodity RAT“ alate i info-stealere. U Brazilu su korišćene zlonamerne Chrome ekstenzije za krađu bankarskih podataka, dok je u Latinskoj Americi turistički sektor bio meta phishing kampanja sa lažnim rezervacijama hotela.

Istraživači su takođe identifikovali grupu koja je ciljala organizacije u Indoneziji, koristeći Dropbox linkove za instalaciju backdoor-a kojima se kasnije upravljalo putem Telegrama.

GTIG ističe da širenje ovakvih napada omogućava razvijena podzemna ekonomija. Prodavac „zeroplayer“ uhvaćen je kako prodaje ovaj WinRAR exploit, zajedno sa drugim alatima za napade i digitalnim „ključevima“. Njegova ponuda uključivala je alate za kompromitovanje Microsoft Office-a po ceni od 300.000 dolara, kao i „kill switch“ mehanizme za onesposobljavanje antivirusa, čija je cena iznosila oko 80.000 dolara.

Kako ovi alati postaju dostupni manje iskusnim kriminalcima, broj i raznovrsnost napada nastavljaju da rastu.

Kako se zaštititi

Istraživači naglašavaju da je najjednostavnija i najefikasnija zaštita redovno ažuriranje softvera.

Korisnicima se savetuje da odmah ažuriraju WinRAR na verziju 7.13 ili noviju, čime se ovaj propust u potpunosti zatvara.

Kada se isti exploit koristi i za državnu špijunažu i za masovni kriminal, redovno ažuriranje ostaje jedna od retkih odbrambenih mera koja i dalje pouzdano funkcioniše.