Hakeri koriste novu ranjivost u WinRAR-u za širenje malvera

Vesti, 12.08.2025, 11:00 AM

Istraživači iz kompanije ESET upozorili su na ranjivost u WinRAR-u, praćenu kao CVE-2025-8088, koju je nedavno iskoristila ruska hakerska grupa „RomCom“ u napadima nultog dana.

RomCom (poznata i kao Storm-0978 i Tropical Scorpius) je ruska grupa za sajber špijunažu sa istorijom eksploatacija nultog dana, uključujući Firefox (CVE-2024-9680, CVE-2024-49039) i Microsoft Office (CVE-2023-36884).

ESET je 18. jula otkrio da RomCom koristi nedokumentovanu ranjivost nultog dana, koja omogućava napadačima da sakriju zlonamerne DLL, EXE i LNK fajlove u arhivi koji se tokom ekstrakcije raspoređuju u sistemske direktorijume, omogućavajući postojanost i izvršavanje koda. ESET je o tome obavestio tim koji stoji iza popularnog alata za arhiviranje, koji je objavio zakrpu već 30. jula sa verzijom 7.13. Korisnicima se preporučuje da odmah nadograde WinRAR.

Između 18. i 21. jula, RomCom je poslao imejlove firmama u Evropi i Kanadi. Imejlovi su sadržali prijave za posao sa RAR fajlovima.

ESET je dokumentovao tri različita lanca napada, a svi dovode do poznatih porodica RomCom malvera: Mythic Agent (omogućava daljinsku kontrolu i isporuku dodatnih payload-ova), SnipBot (preuzima nove maliciozne fajlove) i MeltingClaw (modul koji preuzima i pokreće dodatne malvere).

Iako je Microsoft dodao izvornu RAR podršku Windows-u 2023. godine, ova funkcija je dostupna samo za novija izdanja, a njene mogućnosti nisu toliko opsežne kao one u WinRAR.

Stoga, WinRAR i dalje koriste milioni korisnika i firmi, što ga čini glavnom metom za hakere.

WinRAR ne sadrži funkciju automatskog ažuriranja, tako da korisnici moraju ručno da preuzmu i instaliraju najnoviju verziju, što se retko dešava. S obzirom da je ranjivost prisutna i u starijim verzijama, može biti ugrožen veliki broj sistema.