Злоумышленники освоили опасную технику атак, используя популярный архиватор WinRAR для таргетирования пользователей Windows.
Эксперты ESET Антон Черепанов, Петер Кошинар и Петер Стрычек обнаружили критическую брешь безопасности, обозначенную как CVE-2025-8088. Эта уязвимость позволяла вредоносным архивам автоматически распаковывать свое содержимое напрямую в системные папки Windows и повторно активироваться при каждой перезагрузке компьютера.
Механизм атаки и угроза
Атака начинается с фишингового письма, содержащего вредоносный архив. Хотя WinRAR обычно распаковывает файлы только в указанные папки, зловредные архивы обходят защиту. Их содержимое автоматически извлекается в критически важные системные директории. Специалисты ESET выявили, что атакующие внедряют вредоносное ПО RomCom для кражи конфиденциальных данных.
Решение и защита от угрозы
Удаление вируса требует особых усилий из-за его свойства переустанавливаться после перезагрузки. В ответ разработчики WinRAR оперативно выпустили исправление – патч 7.13 Final. Для применения защиты необходимо полностью удалить старую версию приложения и установить актуальный релиз с официального сайта разработчика. Подчеркивается масштабность угрозы: учитывая аудиторию WinRAR в сотни миллионов пользователей.
Историческая заметка о безопасности
Ранее, в апреле, исследователи уже сообщали о другой критической уязвимости в WinRAR, позволяющей обходить защитную маркировку Windows для файлов, загруженных из сети (Mark of the Web).
