Multiple grupuri de amenințare, atât sprijinite de state, cât și motivate financiar, exploatează vulnerabilitatea de severitate ridicată CVE-2025-8088 din WinRAR pentru acces inițial și pentru a livra diverse încărcături malițioase, potrivit bleepingcomputer.com.
👉 Detalii despre vulnerabilitatea și actorii implicați
Problema de securitate este o vulnerabilitate de traversare a căii care utilizează Fluxurile Alternativ de Date (ADS) pentru a scrie fișiere malițioase în locații arbitrare. Atacatorii au exploatat aceasta în trecut pentru a planta malware în folderul de startup al Windows, pentru persistență în urma repornirilor. Cercetătorii de la compania de cybersecurity ESET au descoperit vulnerabilitatea și au raportat la începutul lunii august 2025 că grupul asociat cu Rusia, RomCom, o exploata în atacuri de tip zero-day. Într-un raport publicat astăzi, Google Threat Intelligence Group (GTIG) afirmă că exploatarea a început încă din 18 iulie 2025 și continuă și în prezent, provenind atât de la actori de spionaj susținuți de state, cât și de la criminali cibernetici motivați financiar dintr-un nivel inferior.
👉 Modul de exploatare și impactul atacurilor
„Lanțul de exploatare implică adesea ascunderea fișierului malițios în interiorul ADS al unui fișier de distragere a atenției din arhivă. De obicei, utilizatorul vizualizează un document de distragere a atenției, cum ar fi un PDF, în cadrul arhivei, însă există și intrări ADS malițioase, unele conținând o încărcătură ascunsă, iar altele date fictive,” explică cercetătorii de la Google. Când este deschis, WinRAR extrage încărcătura ADS folosind traversarea directorului, aruncând adesea fișiere LNK, HTA, BAT, CMD sau scripturi care sunt executate la autentificarea utilizatorului.
Printre actorii de amenințare sprijiniți de state pe care cercetătorii Google i-au observat exploatând CVE-2025-8088 se numără:
Google a observat, de asemenea, actori motivați financiar exploatând vulnerabilitatea de traversare a căii din WinRAR pentru a distribui instrumente de acces la distanță comune și hoți de informații precum XWorm și AsyncRAT, backdoor-uri controlate de bot-uri Telegram și extensii bancare malițioase pentru browserul Chrome. Se crede că toți acești actori de amenințare au obținut exploatări funcționale de la furnizori specializați, cum ar fi unul care folosește aliasul „zeroplayer,” care a făcut publicitate unui exploit WinRAR în iulie trecut. Același actor de amenințare a comercializat, de asemenea, multiple exploatări de mare valoare anul trecut, inclusiv presupuse zero-days pentru escapade din sandbox-ul Microsoft Office, RCE pentru VPN-urile corporative, escaladarea privilegiilor locale în Windows și o ocolire a soluțiilor de securitate (EDR, antivirus), vânzându-le la prețuri între 80.000 și 300.000 de dolari.
Google comentează că aceasta reflectă commoditizarea dezvoltării de exploatări, care este crucială în ciclul de viață al atacurilor cibernetice, reducând fricțiunea și complexitatea pentru atacatori și permițându-le să vizeze sisteme nepatch-uite într-un timp scurt. Pe măsură ce MCP (Model Context Protocol) devine standardul pentru conectarea LLM-urilor la instrumente și date, echipele de securitate se mișcă rapid pentru a menține aceste noi servicii în siguranță. Acest ghid gratuit conturează 7 bune practici pe care le poți începe să le folosești astăzi.
