В WinRAR нашли уязвимость нулевого дня — хакеры устанавливали вредонос при распаковке архивов

В архиваторе WinRAR выявлена критическая брешь в безопасности (CVE-2025-8088), которая эксплуатировалась злоумышленниками в реальных кибератаках еще до публикации патча. Эта уязвимость давала возможность извлекать содержимое архива не в выбранную пользователем папку, а в любую указанную атакующим директорию, например, в папку автозагрузки Windows, что создавало возможность удалённого контроля над устройством.

Уязвимость затрагивала предыдущие версии WinRAR, функционирующие в среде Windows, а также библиотеку UnRAR. В версии 7.13 эта проблема безопасности устранена, однако автоматическое обновление отсутствует, поэтому пользователям настоятельно рекомендуется немедленно загрузить обновлённую версию с официального сайта. Варианты для Linux, Android и прочих платформ не подвержены этой уязвимости.

Согласно информации, предоставленной ESET, данный баг активно использовался в целенаправленных фишинговых кампаниях. Жертвам рассылались электронные письма с RAR-архивами, которые, при распаковке, осуществляли установку вредоносного ПО RomCom. Эта группировка, также известная как Storm-0978, Tropical Scorpius или UNC2596, имеет связь с российскими хакерами и ранее была замечена в атаках с применением программ-вымогателей Cuba и Industrial Spy, а также в кражах конфиденциальной информации.

RomCom известна применением уязвимостей нулевого дня и собственными вредоносными разработками для закрепления в инфицированной системе, кражи данных и развертывания бэкдоров. Специалисты ESET подготавливают развернутый отчет о данной кибератаке, однако уже сейчас предупреждают: пренебрежение обновлением WinRAR может сделать компьютер уязвимым для заражения.