Открыли Winrar архив? Поздравляем, вирус уже в вашей Windows

Недавно закрытая уязвимость в WinRAR с идентификатором CVE-2025-8088 оказалась задействована в целевых фишинговых атаках ещё до выхода исправления. Проблема относилась к классу Directory Traversal и устранялась лишь в версии WinRAR 7.13 . Она позволяла злоумышленникам формировать специальные архивы, при распаковке которых файлы оказывались не в папке, выбранной пользователем, а в каталоге, прописанном атакующим. Такой механизм открывал возможность обхода стандартных ограничений и внедрения вредоносного кода в критически важные директории Windows.

В отличие от привычного сценария, когда распаковка идёт в заранее указанное место, уязвимость позволяла подменить путь, чтобы перенаправить содержимое в автозагрузочные папки операционной системы. Среди таких директорий — Startup-папка конкретного пользователя (%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup) и системный автозапуск для всех учётных записей (%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp). При следующем входе в систему любой исполняемый файл, помещённый туда через уязвимость, запускался автоматически, что фактически давало злоумышленнику возможность удалённого выполнения кода без участия жертвы.

Проблема затрагивала только Windows-редакции WinRAR, RAR, UnRAR, их портативные версии и библиотеку UnRAR.dll. Варианты для Unix-платформ, Android и соответствующие исходные коды этой уязвимости не имели.

Особую опасность ситуации усиливал тот факт, что WinRAR не обладает функцией автоматического обновления . Пользователи, которые не следят за выпуском новых версий, могли месяцами оставаться под угрозой атаки, не подозревая об этом. Разработчики настоятельно рекомендуют вручную загрузить и установить WinRAR 7.13 с официального сайта win-rar.com, чтобы исключить возможность эксплуатации данной ошибки.

Уязвимость выявили специалисты ESET Антон Черепанов, Петер Кошинар и Петер Стричек. Последний подтвердил, что она использовалась в реальных фишинговых кампаниях для установки вредоносного ПО RomCom. В рамках атак рассылались письма с прикреплёнными RAR-архивами, в которых был зашит эксплойт CVE-2025-8088.

RomCom — это группировка, также известная под названиями Storm-0978, Tropical Scorpius или UNC2596. Она специализируется на атаках с применением программ-вымогателей, похищении данных и вымогательстве, а также проводит кампании по краже учётных данных. В её арсенале — собственные вредоносы, которые используются для длительного присутствия в системе, кражи информации и создания бэкдоров, обеспечивающих скрытый доступ к заражённым устройствам.

Группа известна тем, что активно использует нулевые дни в атаках, а также сотрудничает с другими вымогательными операциями, включая Cuba и Industrial Spy. Текущая кампания с использованием уязвимости в WinRAR — лишь очередной пример того, как RomCom комбинирует технически сложные методы взлома с социальной инженерией, чтобы преодолевать защиту и внедряться в корпоративные сети.

ESET уже готовит развернутый отчёт о произошедшем, в котором будут подробно описаны методы эксплуатации и технические детали выявленных атак.