Под капотом нулевого дня в WinRAR — как RomCom захватывала ПК через архивы

Команда ESET опубликовала детальный разбор, как хакерская группировка RomCom использовала неизвестную ранее уязвимость обхода путей в WinRAR (CVE-2025-8088) для незаметной установки вредоносного ПО на компьютеры жертв. Баг применяли в атаках нулевого дня , а значит, на момент обнаружения он ещё не был исправлен.

По данным ESET, 18 июля 2025 года исследователи зафиксировали эксплуатацию изъяна в реальных атаках и сообщили о нём разработчикам WinRAR. Уже 30 июля вышла версия 7.13 с исправлением, однако в сопроводительном описании обновления не было упоминаний о том, что уязвимость использовалась вживую. Лишь позднее ESET подтвердила, что этот баг служил для распаковки исполняемых файлов прямо в каталоги автозагрузки при открытии жертвой специально подготовленного архива.

CVE-2025-8088 оказалась разновидностью Directory Traversal, которая срабатывала благодаря использованию потоков альтернативных данных (Alternate Data Streams, ADS). Уязвимость позволяла заставить WinRAR распаковывать файлы не в выбранную пользователем папку, а в директорию, указанную злоумышленником. Так можно было тихо поместить ярлыки, DLL и EXE-файлы в системные или пользовательские каталоги автозапуска. ESET отмечает, что найденная ошибка имеет сходство с другой уязвимостью обхода путей в WinRAR — CVE-2025-6218, раскрытой месяцем ранее.

Зловредные архивы, задействованные в этих атаках, содержали множество скрытых полезных нагрузок в ADS. Часть потоков вела на несуществующие пути, что вызывало безобидные предупреждения WinRAR о невозможности извлечь файлы. На фоне этих «шумовых» сообщений в списке файлов терялись настоящие вредоносные объекты — DLL, EXE и LNK-файлы, прописанные глубже. В результате исполняемые файлы оказывались в %TEMP% или %LOCALAPPDATA%, а ярлыки — в папке автозагрузки Windows. После следующего входа пользователя в систему эти ярлыки запускали вложенные программы, продолжая выполнение вредоносного кода.

ESET выделила три цепочки заражения, каждая из которых доставляла разные инструменты RomCom:

Mythic Agent — ярлык Updater.lnk добавлял библиотеку msedge.dll в ключ реестра для перехвата COM-инициализации (COM hijacking). DLL расшифровывал AES-оболочку и выполнял её только в том случае, если домен компьютера совпадал с жёстко заданным значением. Затем запускался агент Mythic, который устанавливал связь с управляющим сервером, принимал команды и загружал дополнительные модули.

SnipBot — ярлык Display Settings.lnk запускал ApbxHelper.exe, модифицированную версию PuTTY CAC с недействительным сертификатом. Перед активной фазой вредонос проверял, что на устройстве за последнее время открыто не меньше 69 документов. Если условие выполнялось, он расшифровывал следующий блок кода и скачивал новые полезные нагрузки с серверов атакующих.

MeltingClaw — ярлык Settings.lnk запускал Complaint.exe (известный как RustyClaw), который подгружал DLL-библиотеку MeltingClaw. Та, в свою очередь, загружала и выполняла дополнительные вредоносные модули с инфраструктуры оператора.

RomCom , также известная как Storm-0978 и Tropical Scorpius, — это кибершпионская группа, которая неоднократно применяла нулевые дни. Ранее она эксплуатировала уязвимости в Firefox (CVE-2024-9680, CVE-2024-49039) и Microsoft Office (CVE-2023-36884). Параллельно российская компания Bi.Zone сообщила о другой волне атак, отслеживаемой как «Paper Werewolf», где использовались и CVE-2025-8088, и CVE-2025-6218.

Полный список индикаторов компрометации (IoC) для последних атак RomCom опубликован ESET на GitHub . В RarLab, разработчике WinRAR, заявили, что не располагают подробной информацией о том, как именно эксплуатировалась уязвимость, и не получали сообщений от пользователей о подобных инцидентах. От ESET компания получила только технические данные, необходимые для подготовки патча.

Ситуация усугубляется тем, что WinRAR до сих пор не имеет функции автоматического обновления. Чтобы закрыть уязвимость, пользователям нужно самостоятельно загрузить и установить версию 7.13 с официального сайта. Несмотря на то, что поддержка RAR в Windows появилась в 2023 году, она доступна только в свежих сборках системы и сильно уступает WinRAR по функциональности. Поэтому и частные пользователи, и организации продолжают использовать этот архиватор, что делает его удобной целью для атакующих.