У популярному архіваторі WinRAR виявили вразливість нульового дня (CVE-2025-8088), який уже активно використовує проросійська група RomCom для кібератак на міжнародні підприємства.
У популярному архіваторі WinRAR виявили вразливість нульового дня (CVE-2025-8088), який уже активно використовує проросійська група RomCom для кібератак на міжнародні підприємства.
Як повідомляє The Cyber Express, вразливість пов’язана з обходом шляхів (path traversal) через використання альтернативних потоків даних Windows (ADS), що дає змогу приховувати шкідливі файли всередині, на перший погляд, безпечного RAR-архіву. Жертви отримують архіви з нібито резюме чи офіційними документами, а після розпакування без попереджень запускається шкідливий код.
RomCom, також відома як Storm-0978, UNC2596 або Tropical Scorpius, вже не вперше експлуатує нульові дні. Раніше вона використовувала вразливості в Microsoft Word (CVE-2023-36884) та ланцюг атак через Firefox і Windows (CVE-2024-9680, CVE-2024-49039). Нинішня кампанія націлена на фінансові, виробничі, оборонні та логістичні компанії в Європі та Канаді.
Експерти ESET, які першими повідомили про CVE-2025-8088, зафіксували, що шкідливі архіви містили ADS-записи з вкладеними шляхами для розміщення DLL у %TEMP% та .LNK-файлу в теці автозавантаження Windows, що забезпечує стійкість через COM-hijack.
WinRAR випустив виправлення вже 30 липня, тож користувачам рекомендовано оновитися до версії 7.13 або новішої, а також запровадити моніторинг процесів розпакування та додаткову перевірку підозрілих вкладень, особливо пов’язаних із вакансіями.
Фахівці попереджають: поширені утиліти, як-от WinRAR, можуть стати потужним інструментом шпигунських операцій. У випадку RomCom це черговий доказ, що група зробила використання нульових днів ключовою частиною своєї стратегії.
Раніше ми також писали про те, як CERT-UA повідомляє про нові кібератаки: хакери націлилися на лісництва, судово-медичні установи та заводи. Хакерське злочинне угруповання UAC-0099, яке протягом 2022–2023 років отримало доступ до кількох десятків комп’ютерів в Україні, знову здійснює кібератаки.
