En nylig oppdaget WinRAR-sårbarhet (zero-day) har blitt utnyttet i aktive phishingkampanjer av hackergruppen RomCom. Sårbarheten gjør det mulig for angripere å automatisk kjøre ondsinnede filer ved systemstart. Sikkerhetseksperter oppfordrer brukere til å oppdatere umiddelbart for å unngå kompromittering.
RomCom-hackere utnytter WinRAR-sårbarheten
Sikkerhetsforskere fra ESET avslørte at sårbarheten, sporet som CVE-2025-8088, er en «directory traversal»-sårbarhet. Den gjør det mulig for spesiallagde arkivfiler å pakke ut ondsinnede kjørbare filer til Windows Startup-mappen. Når de først er der, kjøres skadevaren automatisk hver gang systemet starter.
Trusselaktøren RomCom, også kjent som Storm-0978, Tropical Scorpius eller UNC2596, brukte spydfiskings-e-poster for å levere disse ondsinnede arkivene. Målene mottok troverdige lokkemidler som, når de ble åpnet, startet infeksjonsprosessen.
Fremtredende trusselaktør med historikk på zero-day-angrep
RomCom har tidligere gjennomført ransomware- og datatyverikampanjer og bruker ofte zero-day-sårbarheter. Gruppen opererer innenfor russiske nettkriminelle miljøer og retter seg ofte mot høyt prioriterte mål.
Patch utgitt, men manuelle oppdateringer kreves
Leverandøren har gitt ut WinRAR versjon 7.13 for å rette sårbarheten. WinRAR har imidlertid ingen automatisk oppdateringsfunksjon. Brukere må manuelt laste ned og installere den nyeste versjonen fra den offisielle nettsiden for å sikre systemene sine.
Anbefalte tiltak
Sikkerhetseksperter anbefaler følgende steg:
- Oppdater til WinRAR 7.13 umiddelbart
- Unngå å åpne arkivfiler fra ukjente kilder
- Aktiver endepunktsikkerhetsverktøy som kan oppdage mistenkelig filatferd
Konklusjon
WinRAR-sårbarheten fremhever risikoen ved uoppdatert programvare og utholdenheten til avanserte trusselaktører som RomCom. Siden utnyttelsen nå er allment kjent, står uoppdaterte systemer overfor betydelig høyere risiko. Brukere bør handle raskt for å installere den nyeste versjonen og være årvåkne mot phishingtrusler.
0 responses to “WinRAR-sårbarhet utnyttet av RomCom-hackere i målrettede angrep”