Специалисты компании ESET сообщили, что недавно исправленная уязвимость в WinRAR (CVE-2025-8088) использовалась в качестве 0-day в фишинговых атаках и применялась для установки малвари RomCom.
Уязвимость была связана обходом директорий (directory traversal) и была устранена в конце июля, с выходом WinRAR версии 7.13. Проблема позволяла использовать специально подготовленные архивы и распаковывать файлы по пути, заданному атакующими.
«При распаковке файла предыдущие версии WinRAR, Windows-версии RAR, UnRAR, портативный исходный код UnRAR и библиотека UnRAR.dll могли использовать путь из специально подготовленного архива вместо пути, указанного пользователем, — объясняли разработчики архиватора. — Unix-версии RAR, UnRAR, портативного исходного кода UnRAR и библиотеки UnRAR, а также RAR для Android уязвимы не были».
Таким образом, при помощи этого бага злоумышленники могли создавать архивы, которые распаковывали вредоносные исполняемые файлы в папку автозагрузки Windows, расположенную в:
- %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (локально для пользователя);
- %ProgramData%\Microsoft\Windows\Start Menu\Programs\Startup (для всех пользователей).
После следующего входа в систему такой файл запускался автоматически, что позволяло злоумышленнику выполнить код на удаленном хосте.
Эту проблему в июле 2025 года обнаружили эксперты из компании ESET, и теперь они сообщают, что еще до выхода патча CVE-2025-8088 применялась в атаках в качестве уязвимости нулевого дня.
По информации исследователей, уязвимость эксплуатировали в целевых фишинговых атаках, целью которых являлась доставка малвари хакерской группировки RomCom (она же Storm-0978, Tropical Scorpius и UNC2596), включая вариацию SnipBot, RustyClaw и Mythic.
Сообщается, что эта кампания была нацелена на финансовые, производственные, оборонные и логистические компании в Канаде и странах Европы.
Ранее группу RomCom связывали с вымогательскими атаками и хищением данных ради получения выкупов, а также с кампаниями по краже учетных данных. RomCom известна использованием 0-day уязвимостей, а также применением кастомной малвари для кражи данных и закрепления в системе.
В ESET отмечают, что недавно эта же уязвимость эксплуатировалась другим злоумышленником и была независимо обнаружена российской компанией BI.ZONE. При этом второй злоумышленник начал эксплуатировать CVE‑2025‑8088 через несколько дней после RomCom.