Eset zidentyfikowane Aktywne wykorzystanie wrażliwości Winrar Zero-Day (CVE-2025-8088) przez dwie rosyjskie grupy cyberprzestępczości, Romcom i Paper Wadwolf, z wstępnym wykrywaniem w dniu 18 lipca i późniejszym powiadomieniem dla deweloperów Winrar 24 lipca, co doprowadziło do naprawy sześciu dni później.
18 lipca systemy telemetryczne ESET zarejestrowały nietypową ścieżkę plików, wywołując dochodzenie. Do 24 lipca ESET ustalił, że ta anomalna aktywność wynika z eksploatacji nieznanej podatności na Winrar, powszechnie używanego użyteczności kompresji plików z około 500 milionami instalacji na całym świecie. ESET przekazał to odkrycie deweloperom Winrar tego samego dnia. Następnie Winrar wydał łatkę dotyczącą podatności sześciu dni po powiadomieniu ESET.
Zidentyfikowana podatność, obecnie oznaczona jako CVE-2015-8088, wykorzystała funkcję alternatywnych strumieni danych systemu Windows. Ta konkretna funkcja pozwala na wiele sposobów reprezentowania pojedynczej ścieżki pliku. Exploit wykorzystał tę funkcjonalność, aby wyzwolić wcześniej nieznaną wadę przemiewania ścieżki. Ta wada umożliwiła WinRarowi umieszczenie złośliwych plików wykonywalnych w określone katalogi wybrane przez atakujących, a mianowicie %temperatury i % %localAppData %. Katalogi te są zazwyczaj ograniczone przez Windows ze względu na ich zdolność do wykonywania kodu, dzięki czemu ich manipulacja jest znaczącym obejściem bezpieczeństwa.
ESET przypisał zaobserwowane ataki Romcom, finansowej organizacji cyberprzestępczości działającej z Rosji. Ta grupa jest konsekwentnie aktywna od kilku lat, wykazując zdolność do pozyskiwania i wdrażania exploitów, wraz z realizacją wyrafinowanego handlu w swoich cyberprzestrzeni. Wykorzystanie CVE-2025-8088 przez Romcom podkreśla ich zaangażowanie w inwestowanie znacznych zasobów w ich działalność cybernetyczną. Anton Cherepanov, Peter Strýček i Damien Schaeffer z ESET zauważył: „Wykorzystując nieznaną wcześniej zerową lukę w Winrar, grupa Romcom wykazała, że jest gotowa inwestować poważne wysiłki i zasoby w cyberprzestępstwach. Jest to przynajmniej trzeci czas Romcom, który wykorzystał zero-dni w dzikim wrażliwości, podkreślając swój stały się i wykorzystać atak”.
CVE-2025-8088 nie był wykorzystywany wyłącznie przez Romcom. Rosyjska firma ochroniarska Bi.zone niezależnie udokumentowała aktywne wykorzystanie tej samej wrażliwości przez grupę, którą śledzi jak papierowy wilkołak, znany również jako Goffee. Bi.zone poinformował również, że papierowy wilkołak wykorzystał CVE-2025-6218, osobną podatność na wysokie odstępstwo Winrar, która otrzymała łatkę około pięciu tygodni przed naprawą dla CVE-2025-8088.
Bi.zone poinformował, że papierowy wilkołak rozpowszechnił wyczyny w lipcu i sierpniu. Te wykorzystywanie zostały dostarczone za pośrednictwem archiwów dołączonych do wiadomości e-mail podszywających się pod pracownikom wszechstronnego instytutu badawczego. Celem tych ataków była instalacja złośliwego oprogramowania, zapewniającym papierowy wilkołak nieautoryzowany dostęp do zagrożonych systemów. Podczas gdy ESET i Bi.zone dokonali niezależnych odkryć, wszelkie połączenie między grupami lub pochodzeniem ich wiedzy exploit pozostaje niepotwierdzone. Bi.zone spekulował, że wilkołak papierowy mógł uzyskać słabości za pośrednictwem forum przestępstwa ciemnego rynku.
Analiza ataków ESET zidentyfikowała trzy odrębne łańcuchy wykonawcze. Jeden łańcuch, szczególnie obserwowany w atakach skierowanych do konkretnej organizacji, obejmował złośliwy plik DLL ukryty w archiwum. Ta DLL została wykonana przy użyciu techniki znanej jako porwanie COM, która spowodowała, że zostanie uruchomiona przez legalne aplikacje, takie jak Microsoft Edge. Plik DLL w archiwum odszyfrowanym wbudowanym kodeksem powłoki. Ten kod powłoki następnie odzyskał nazwę domeny bieżącej maszyny i porównał ją z wartością zakodowaną. Jeśli nastąpiło dopasowanie, kod shellowy kontynuował zainstalowanie niestandardowej instancji mitycznej frameworka eksploatacji agenta.
Drugi łańcuch wykonawczy obejmował złośliwe systemy wykonywalne w systemie Windows, który dostarczył SnipBot, znany kawałek złośliwego oprogramowania Romcom, jako ostateczny ładunek. Ten wariant mechanizmów przeciw analizy SnipBot obejmuje, kończąc jego wykonanie po otwarciu w pustej wirtualnej maszynie lub środowisku piaskownicy, co jest powszechną praktyką stosowaną przez złośliwe oprogramowanie do uniknięcia badań kryminalistycznych przez naukowców.
W trzecim łańcuchu wykonawczym wykorzystano dwa inne ustalone elementy złośliwego oprogramowania romcom: Rustyclaw i topeting Claw. Podatności Winrar zostały wcześniej wykorzystywane do dystrybucji złośliwego oprogramowania. Podatność na kod-execution zidentyfikowana w 2019 r. Została szeroko wykorzystywana wkrótce po wydaniu łatki. W 2023 r. Winrar Zero-Day pozostał niewykryty i wykorzystywany przez ponad cztery miesiące przed odkryciem.
Znacząca baza użytkowników Winrara, w połączeniu z brakiem automatycznego mechanizmu aktualizacji, sprawia, że jest skutecznym pojazdem propagacji złośliwego oprogramowania. Użytkownicy muszą ręcznie pobierać i instalować łatki, aby zabezpieczyć swoje systemy. ESET potwierdził również, że wersje systemu Windows narzędzi wiersza poleceń, Unrar.dll i przenośny kod źródłowy UNRAR są również podatne na luki. Użytkownicy powinni zaktualizować do Winrar wersja 7.13 lub nowsza, która w momencie tego raportu była najbardziej aktualną wersją i zawierała poprawki dla wszystkich znanych luk.
