Toți utilizatorii de WinRAR trebuie să știe – O vulnerabilitate a dus la instalarea unui malware periculos, legătura cu Rusia

O eroare critică din WinRAR, corectată recent în versiunea 7.13, a fost folosită în atacuri de tip phishing pentru a instala malware-ul RomCom pe sistemele victimelor.

Cercetătorii ESET au descoperit că o vulnerabilitate de tip traversare de directoare, identificată ca CVE-2025-8088, a fost exploatată înainte de a fi corectată, în atacuri care vizau distribuirea malware-ului RomCom.

O vulnerabilitate de tip „zero-day” folosită în campanii de phishing

Problema afecta versiunile anterioare de WinRAR, precum și componentele Windows ale RAR și UnRAR, inclusiv biblioteca UnRAR.dll, permițând arhivelor create special să extragă fișiere în locații alese de atacator, în loc de folderul selectat de utilizator.

Tehnica putea fi folosită, potrivit Bleeping Computer, pentru a copia executabile direct în foldere de pornire automată ale Windows, precum:

• %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (nivel utilizator)
• %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (nivel sistem)

Astfel, la următoarea pornire a sistemului, fișierul malițios rulat automat oferea atacatorului posibilitatea de a executa cod de la distanță.

Deoarece WinRAR nu dispune de funcție de actualizare automată, utilizatorii sunt sfătuiți să descarce manual cea mai recentă versiune de pe site-ul oficial win-rar.com pentru a evita exploatarea acestei breșe.

RomCom, grup asociat atacurilor cibernetice rusești

Potrivit lui Peter Strýček de la ESET, atacatorii au folosit această vulnerabilitate în campanii de spear-phishing, trimițând emailuri cu atașamente RAR ce exploatau CVE-2025-8088 pentru a instala backdoor-uri RomCom pe sistemele victimei.

RomCom, cunoscut și sub denumirile Storm-0978, Tropical Scorpius sau UNC2596, este un grup de hackeri cu legături în Rusia, implicat în atacuri de tip ransomware, furt de date și campanii pentru colectarea de acreditări.

Gruparea este recunoscută pentru utilizarea vulnerabilităților necunoscute anterior („zero-day”) și a malware-ului personalizat, creat pentru persistență și acces de la distanță.

În trecut, RomCom a fost asociat cu operațiuni de ransomware precum Cuba și Industrial Spy, ceea ce indică un istoric consistent în atacuri complexe și coordonate.

ESET a anunțat că pregătește un raport detaliat despre modul în care a fost exploatată această vulnerabilitate și despre infrastructura folosită în campanie, urmând ca documentul să fie publicat ulterior.

Specialiștii recomandă actualizarea imediată a WinRAR și verificarea fișierelor RAR primite prin email înainte de deschidere, mai ales în contextul intensificării atacurilor cibernetice care exploatează erori software înainte de a fi cunoscute public.