En nyligt opdaget WinRAR-sårbarhed (zero-day) er blevet udnyttet i aktive phishingkampagner af hackergruppen RomCom. Sårbarheden gør det muligt for angribere automatisk at køre ondsindede filer ved systemstart. Sikkerhedseksperter opfordrer brugere til at opdatere med det samme for at undgå kompromittering.
RomCom-hackere udnytter WinRAR-sårbarheden
Sikkerhedsforskere fra ESET afslørede, at sårbarheden, sporet som CVE-2025-8088, er en “directory traversal”-sårbarhed. Den gør det muligt for specialfremstillede arkivfiler at udpakke ondsindede eksekverbare filer til Windows Startup-mappen. Når de først er der, kører malwaren automatisk, hver gang systemet starter.
Trusselsaktøren RomCom, også kendt som Storm-0978, Tropical Scorpius eller UNC2596, brugte spydphishing-e-mails til at levere disse ondsindede arkiver. Målsætningerne modtog troværdige lokkemidler, som, når de blev åbnet, igangsatte infektionen.
Fremtrædende trusselsaktør med historik for zero-day-angreb
RomCom har tidligere gennemført ransomware- og datatyverikampagner og bruger ofte zero-day-udnyttelser. Gruppen opererer inden for russiske cyberkriminelle netværk og retter sig ofte mod højt profilerede mål.
Patch frigivet, men manuelle opdateringer kræves
Leverandøren har udgivet WinRAR version 7.13 for at rette sårbarheden. WinRAR har dog ingen automatisk opdateringsfunktion. Brugere skal manuelt downloade og installere den nyeste version fra den officielle hjemmeside for at sikre deres systemer.
Anbefalede tiltag
Sikkerhedseksperter anbefaler følgende skridt:
- Opdater til WinRAR 7.13 med det samme
- Undgå at åbne arkivfiler fra ukendte kilder
- Aktivér endepunktsikkerhedsværktøjer, der kan opdage mistænkelig filadfærd
Konklusion
WinRAR-sårbarheden understreger risikoen ved uopdateret software og vedholdenheden hos avancerede trusselsaktører som RomCom. Da udnyttelsen nu er offentligt kendt, er uopdaterede systemer i markant højere risiko. Brugere bør handle hurtigt for at installere den nyeste version og være på vagt over for phishingtrusler.
0 svar til “WinRAR-sårbarhed udnyttet af RomCom-hackere i målrettede angreb”