Admin
Администратор
Вы все еще не купили WinRAR? Тогда хакеры идут к вам.
Всего один неправильный архив может разрушить вашу карьеру и опустошить банковский счёт.
Команда Google Threat Intelligence Group сообщила о масштабной эксплуатации критической уязвимости CVE-2025-8088 в популярном архиваторе WinRAR. Несмотря на то, что проблема была устранена ещё летом 2025 года, злоумышленники продолжают активно использовать её в атаках по всему миру, применяя как в финансово мотивированных кампаниях, так и в операциях, связанных с государственными структурами разных стран.
Речь идёт об ошибке обхода путей, которая позволяет через специально сформированные RAR-архивы записывать файлы в произвольные каталоги Windows, в том числе в папку автозагрузки. Для этого применяется механизм альтернативных потоков данных, когда вредоносный файл маскируется внутри безобидного документа, например PDF. При открытии архива скрытый объект незаметно сохраняется в системной директории, а затем автоматически запускается при следующем входе пользователя в систему, обеспечивая закрепление в системе и дальнейшее развитие атаки.
По данным GTIG, эксплуатация CVE-2025-8088 началась уже 18 июля 2025 года, а исправление было выпущено компанией RARLAB 30 июля вместе с версией WinRAR 7.13. Однако низкая скорость обновления программного обеспечения у пользователей и организаций сделала эту уязвимость удобным инструментом для массовых атак.
В атаках применяются фишинговые рассылки, архивы с приманками на украинскую тематику и вредоносные ярлыки, скрипты и HTA-файлы, загружающие дополнительные компоненты. В этих операциях зафиксировано использование семейств вредоносного ПО NESTPACKER, STOCKSTAY и других инструментов для разведки и удалённого управления.
Уязвимость активно используют как государственные, так и частные хакерские группировки. Зафиксированы атаки против организаций в Индонезии, странах Латинской Америки и Бразилии, где через WinRAR распространяются RAT-программы, похитители данных, бэкдоры и даже вредоносные расширения для браузера Chrome, внедряющие фишинговые скрипты на страницах банковских сайтов.
Отдельное внимание в отчёте уделено подпольному рынку эксплойтов. По данным GTIG, значительную роль в распространении подобных инструментов играет актор под псевдонимом zeroplayer, который с 2025 года предлагает на чёрном рынке различные дорогостоящие эксплойты, включая уязвимости в Microsoft Office, Windows, VPN-решениях и защитных системах. Это ускоряет постановку атак на поток, снижая порог входа для самых разных группировок.
В Google подчёркивают, что ситуация вокруг CVE-2025-8088 наглядно показывает, насколько опасными остаются уже закрытые уязвимости, если они быстро попадают в криминальную экосистему. Даже после выпуска обновлений такие бреши годами используются в реальных атаках, становясь универсальным вектором первоначального проникновения в системы.
Последнее редактирование:
