0-day в деле
Image

0-day в деле

Показываем, как критические баги ломают системы в реальном времени, пока вендоры только готовят патч. 

Вы все еще не купили WinRAR? Тогда хакеры идут к вам

leer en español

Google Threat Intelligence Group WinRAR CVE-2025-8088 RARLAB zeroplayer вредоносное ПО кибератаки
Вы все еще не купили WinRAR? Тогда хакеры идут к вам
Google Threat Intelligence Group WinRAR CVE-2025-8088 RARLAB zeroplayer вредоносное ПО кибератаки

Всего один неправильный архив может разрушить вашу карьеру и опустошить банковский счёт.

image

Команда Google Threat Intelligence Group сообщила о масштабной эксплуатации критической уязвимости CVE-2025-8088 в популярном архиваторе WinRAR. Несмотря на то, что проблема была устранена ещё летом 2025 года, злоумышленники продолжают активно использовать её в атаках по всему миру, применяя как в финансово мотивированных кампаниях, так и в операциях, связанных с государственными структурами разных стран.

Речь идёт об ошибке обхода путей, которая позволяет через специально сформированные RAR-архивы записывать файлы в произвольные каталоги Windows, в том числе в папку автозагрузки. Для этого применяется механизм альтернативных потоков данных, когда вредоносный файл маскируется внутри безобидного документа, например PDF. При открытии архива скрытый объект незаметно сохраняется в системной директории, а затем автоматически запускается при следующем входе пользователя в систему, обеспечивая закрепление в системе и дальнейшее развитие атаки.

По данным GTIG, эксплуатация CVE-2025-8088 началась уже 18 июля 2025 года, а исправление было выпущено компанией RARLAB 30 июля вместе с версией WinRAR 7.13. Однако низкая скорость обновления программного обеспечения у пользователей и организаций сделала эту уязвимость удобным инструментом для массовых атак.

В атаках применяются фишинговые рассылки, архивы с приманками на украинскую тематику и вредоносные ярлыки, скрипты и HTA-файлы, загружающие дополнительные компоненты. В этих операциях зафиксировано использование семейств вредоносного ПО NESTPACKER, STOCKSTAY и других инструментов для разведки и удалённого управления.

Уязвимость активно используют как государственные, так и частные хакерские группировки. Зафиксированы атаки против организаций в Индонезии, странах Латинской Америки и Бразилии, где через WinRAR распространяются RAT-программы, похитители данных, бэкдоры и даже вредоносные расширения для браузера Chrome, внедряющие фишинговые скрипты на страницах банковских сайтов.

Отдельное внимание в отчёте уделено подпольному рынку эксплойтов. По данным GTIG, значительную роль в распространении подобных инструментов играет актор под псевдонимом zeroplayer, который с 2025 года предлагает на чёрном рынке различные дорогостоящие эксплойты, включая уязвимости в Microsoft Office, Windows, VPN-решениях и защитных системах. Это ускоряет постановку атак на поток, снижая порог входа для самых разных группировок.

В Google подчёркивают, что ситуация вокруг CVE-2025-8088 наглядно показывает, насколько опасными остаются уже закрытые уязвимости, если они быстро попадают в криминальную экосистему. Даже после выпуска обновлений такие бреши годами используются в реальных атаках, становясь универсальным вектором первоначального проникновения в системы.