Wrażliwość zero-day-day w powszechnie używanym użyteczności kompresji plików Winrar, zidentyfikowana jako CVE-2015-8088, została aktywnie wykorzystana przez dwie rosyjskie grupy cyberprzestępczości, prowadząc do backdooring komputerów, które otworzyły złośliwe archiwa. ESET, firma ochroniarska, po raz pierwszy wykryła te ataki 18 lipca, kiedy jej telemetria oznaczyła plik na nietypowej ścieżce katalogu. Do 24 lipca ESET ustalił, że działanie było powiązane z nieznaną podatnością na podatność w Winrar, która oferuje zainstalowaną bazę około 500 milionów użytkowników. ESET niezwłocznie powiadomił programistów Winrar tego samego dnia, a poprawka została wydana sześć dni później.
Podatność wykorzystała alternatywne strumienie danych, funkcja systemu Windows, aby wykorzystać wadę przemieszczania ścieżki. Umożliwiło to sadzenie złośliwych elementów wykonywalnych w ścieżkach plików nabierających napastników, w szczególności %temp %i %LocalAppData %, które zazwyczaj ogranicza się ze względu na ich zdolność do wykonywania kodu. ESET przypisał te ataki Romcom, motywowanej finansowo grupie cyberprzestępczości działającej z Rosji. Anton Cherepanov z ESET, Peter Strýček i Damien Schaeffer zauważyli: „Wykorzystując wcześniej nieznaną lukę zero-day w Winrar, grupa Romcom wykazała, że jest gotowa zainwestować poważne wysiłki i zasoby w cyberprzestępstwach. Jest to co najmniej trzeci czas Romcom, który wykorzystał zero-dni w dzikim wrażliwości, podkreślając swój stały się i wykorzystać atak”.
Co ciekawe, Romcom nie był jedyną grupą wykorzystującą CVE-2025-8088. Rosyjska firma ochroniarska Bi.zone poinformowała, że ta sama podatność była również aktywnie wykorzystywana przez grupę, którą śledzi jako papierowy wilkołak, znany również jako Goffee. Ta grupa jednocześnie wykorzystała CVE-2025-6218, kolejną podatność na podatność Winrar o wysokiej rozdzielczości, która została załatana pięć tygodni przed poprawką dla CVE-2015-8088. Bi.zone stwierdził, że papierowy wilkołak dostarczył wyczyny w lipcu i sierpniu za pośrednictwem archiwów dołączonych do e-maili podszywających się pod pracownikom wszechstronnego instytutu badawczego, z ostatecznym celem instalacji złośliwego oprogramowania w celu uzyskania dostępu do zainfekowanych systemów.
Podczas gdy odkrycia ESET i BI.Zone były niezależne, pozostaje niejasne, czy grupy wykorzystujące te luki są połączone lub uzyskane wiedzę na temat exploit ze wspólnego źródła. Bi.zone spekulował, że papierowy wilkołak mógł nabyć luki za pomocą forum przestępstwa ciemnego rynku. ESET zaobserwował trzy wyraźne łańcuchy wykonawcze w monitorowanych atakach. Jeden łańcuch, ukierunkowany na konkretną organizację, polegała na wykonywaniu złośliwego pliku DLL ukrytego w archiwum za pośrednictwem porwania COM. Ta metoda spowodowała wykonanie DLL przez niektóre aplikacje, takie jak Microsoft Edge. DLL odszyfrowałaby osadzony kod smatowy, który następnie odzyskał nazwę domeny bieżącej maszyny i porównał ją z wartością zakodowaną. Jeśli się dopasowały, ShellCode zainstalował niestandardową instancję mitycznych środowisk eksploatacyjnych.
Drugi łańcuch wykonawczy polegał na prowadzeniu złośliwego systemu Windows wykonywalnego w celu dostarczenia SnipBot, znanego elementu złośliwego oprogramowania Romcom, jako ostatecznego ładunku. To złośliwe oprogramowanie obejmowało techniki przeciw analizy, kończące się po otwarciu w pustej wirtualnej maszynie lub piaskownicy, co jest powszechną praktyką wśród badaczy w celu uniknięcia analizy kryminalistycznej. Trzeci łańcuch wykonawczy wykorzystał dwa inne znane warianty romcom złośliwe oprogramowanie: Rustyclaw i toperz.
Winrar luki w historii są wykorzystywane do instalacji złośliwego oprogramowania. Podatność na execution w kodeksie od 2019 r. Spowodowała powszechne wykorzystanie wkrótce po załataniu. Niedawno, w 2023 r., Winrar Zero-Day był wykorzystywany przez ponad cztery miesiące przed wykryciem ataków. Duża baza użytkowników Winrara, w połączeniu z brakiem automatycznego mechanizmu aktualizacji – wymagając użytkowników do ręcznego pobierania i instalowania łat – sprawia, że jest idealnym pojazdem do propagacji złośliwego oprogramowania. ESET podkreślił również, że wersje systemu Windows narzędzia linii poleceń Unrar.dll i przenośny kod źródłowy UNRAR są również wrażliwe. Użytkownikom zaleca się aktualizację do WinRar wersja 7.13 lub nowsza, która w momencie tego raportu zawierała poprawki dla wszystkich znanych luk. Biorąc jednak pod uwagę powtarzający się charakter Winrar Zero Day, zapewnia to ograniczoną pewność wobec przyszłych zagrożeń.
Source: Winrar Zero-Day CVE-2025-8088 Wykorzystany przez Romcom
