Несколько групп злоумышленников продолжают эксплуатировать критическую уязвимость CVE-2025-8088 в WinRAR. Она используется для первоначального проникновения в системы и доставки различных вредоносных нагрузок.
Проблема безопасности представляет собой уязвимость обхода путей (path traversal), которая использует альтернативные потоки данных (Alternate Data Streams, ADS) для записи вредоносных файлов в произвольные каталоги. Ранее атакующие применяли этот метод для размещения вредоносных файлов в папке автозагрузки Windows, обеспечивая устойчивость заражения после перезагрузок системы.
Уязвимость изначально была обнаружена специалистами компании ESET. В отчете Google Threat Intelligence Group (GTIG) отмечается, что эксплуатация уязвимости началась как минимум 18 июля 2025 года и продолжается до сих пор. По данным Google, цепочка атаки часто строится на сокрытии вредоносного файла внутри ADS «приманочного» файла, находящегося в архиве.
Как поясняют исследователи, пользователь обычно открывает внутри архива безобидный документ — например, PDF. При этом в архиве также присутствуют вредоносные записи ADS: одни из них содержат скрытую полезную нагрузку, другие служат фиктивными данными для маскировки.
При открытии архива WinRAR извлекает полезную нагрузку из ADS с использованием обхода каталогов. В результате на систему часто попадают файлы форматов LNK, HTA, BAT, CMD или различные скрипты, которые автоматически выполняются при входе пользователя в систему.
По данным Google, уязвимость использовалась как специализированными, так и коммерчески мотивированными злоумышленниками. С ее помощью проводились целевые фишинговые атаки, распространялись вредоносные ярлыки и скрипты, а также размещались загрузчики в папках автозапуска для закрепления в системе. В ряде случаев эксплойт применялся для установки многоэтапных вредоносных программ и последующей загрузки дополнительного вредоносного кода.
В Google отмечают, что разработка таких инструментов все чаще превращается в массовый рынок. Это упрощает атаки: злоумышленникам не нужно самим искать уязвимости или писать сложный код, и они могут быстро атаковать системы, которые еще не получили обновления безопасности.
Как защититься
Версия WinRAR 7.13, выпущенная в конце пошлого года, устраняет уязвимость CVE-2025-8088. Однако, программа не имеет встроенной функции автоматического обновления, поэтому пользователям необходимо самостоятельно загрузить и установить версию 7.13 с официального сайта программы. Разработчики WinRAR отмечают, что версии RAR и UnRAR для Unix, а также приложение RAR для Android не подвержены данной уязвимости.
Угрозы безопасности
• Уязвимость обхода путей в WinRAR активно используется множеством хакеров
• Новый MaaS-сервис Stanley обещает обход модерации Chrome Web Store для фишинговых расширений
• Пользователей LastPass атакуют фишинговыми письмами под видом техподдержки
• Трояны Android.Phantom заражают смартфоны через игры и пиратские моды, используя ИИ и видеотрансляции для накрутки кликов
• Атака CrashFix: фальшивый блокировщик рекламы для Chrome и Edge вызывает сбой браузера и заражает ПК
• NANO Антивирус перестал обновляться. Новый владелец BI.ZONE сообщает о переходе на современную инфраструктуру