Екипът зад популярния архивиращ софтуер WinRAR пусна спешна актуализация, за да затвори сериозна „zero-day“ уязвимост, която вече се използва от киберпрестъпници.
Проблемът, известен като CVE-2025-8088 (с оценка по CVSS: 8.8 от 10), засяга Windows версията на WinRAR и позволява на нападателите да изпълняват зловреден код на компютъра на жертвата чрез специално подготвени архивни файлове.
Как работи атаката
Става дума за path traversal – техника, при която архивът съдържа файлове с пътища, насочени извън папката за разархивиране. Така при извличане на съдържанието файловете могат да бъдат записани в чувствителни места като папката за автоматично стартиране на Windows, което позволява зловредният код да се изпълнява при всяко влизане в системата.
Уязвимостта е открита от изследователи на ESET – Антон Черепанов, Петер Косинар и Петер Стричек, и е поправена в WinRAR 7.13 (31 юли 2025). Засегнати са версии до и включително 7.12.
Кой стои зад атаките
Руският екип по киберсигурност BI.ZONE съобщава, че група, известна като Paper Werewolf (или GOFFEE), вероятно е използвала тази уязвимост заедно с друга подобна – CVE-2025-6218, поправена през юни 2025 г.
Преди тези атаки, на 7 юли 2025 г., в рускоезичен форум в тъмната мрежа хакер с псевдоним zeroplayer е предлагал „zero-day“ експлойт за WinRAR за 80 000 долара. Предполага се, че Paper Werewolf може да е купила и използвала този инструмент.
Атаките са извършвани чрез фишинг имейли със зловредни архиви. При отварянето им се задейства уязвимостта, поставят се файлове в неразрешени директории и се стартира код, докато жертвата вижда подвеждащ документ за разсейване.
Един от използваните зловредни компоненти е .NET loader, който изпраща информация за системата към външен сървър и изтегля допълнителен малуер.
Намеса и от други хакерски групи
ESET е засекла и друга руска хакерска група – RomCom, която също е експлоатирала CVE-2025-8088 още на 18 юли 2025 г. Това е третият случай, в който RomCom използва „zero-day“ уязвимости.
Техните атаки са насочени към компании от финансовия, производствения, отбранителния и логистичния сектор в Европа и Канада. Архивите им съдържат легитимен файл и няколко скрити alternative data streams (ADSes), които помагат за извършване на path traversal атака.
След отваряне на такъв архив се изпълнява зловреден DLL файл, а в папката за автоматично стартиране на Windows се добавя пряк път (LNK) за постоянен достъп. Впоследствие се зареждат допълнителни инструменти за шпионаж и контрол на системата.
Не само WinRAR – и 7-Zip има проблем
Почти по същото време стана ясно, че и друг популярен архиватор – 7-Zip – е получил поправка за уязвимост (CVE-2025-55188), която позволява произволно записване на файлове чрез неправилно обработване на символни връзки. Макар и с по-ниска оценка по CVSS (2.7), тази дупка също може да доведе до изпълнение на код при определени условия.
Какво да направите
Тези инциденти показват колко важно е своевременното обновяване на софтуера и предпазливото боравене с прикачени файлове – дори от познати програми, които използваме от години.
