Angribere udnytter aktivt en nyligt opdaget WinRAR zero-day-sårbarhed til at levere flere typer malware. Angrebene, som forbindes med den Rusland-tilknyttede gruppe RomCom, brugte specialfremstillede RAR-arkiver til at placere ondsindede filer i følsomme systemmapper.
Sådan fungerede udnyttelsen
Sårbarheden, som spores som CVE-2025-8088, er en path traversal-sårbarhed i WinRAR til Windows. Angribere brugte Alternate Data Streams (ADS) til at skjule ondsindede filer i arkiver. Når de blev udpakket, kunne disse filer placeres i skjulte eller autostart-mapper, herunder %TEMP%, %LOCALAPPDATA% og Windows Startup-mapper. Dette gjorde det muligt for dem at køre automatisk uden brugerinteraktion.
Malware leveret i angrebene
Forskere identificerede tre malwarefamilier, der blev distribueret gennem disse angreb:
Mythic Agent – Kører via COM-hijacking, eksekverer shellcode og opretter forbindelse til en kommando- og kontrolserver.
SnipBot-variant – Forklædt som et falsk PuTTY CAC-værktøj, aktiveres kun under visse systembetingelser.
MeltingClaw (RustyClaw) – En bagdør, der kan downloade og køre yderligere ondsindede moduler.
Forskere har knyttet alle tre varianter til trusselsaktøren RomCom, også kendt som Storm-0978, Tropical Scorpius eller UNC2596.
Attribution og angrebskampagner
Angrebene er observeret i phishing-kampagner, der leverer ondsindede RAR-filer til målene. Når de åbnes og udpakkes, kan de nyttelaster, der er indlejret i disse arkiver, køre med det samme eller forblive inaktive til senere aktivering, afhængigt af malwarens programmering.
Patch og afhjælpning
WinRAR rettede sårbarheden i version 7.13 den 30. juli 2025, efter at ESET-forskere havde advaret virksomheden. Sikkerhedseksperter opfordrer kraftigt brugere til at opdatere med det samme for at undgå kompromittering. Udviklerne havde allerede rettet en anden path traversal-sårbarhed (CVE-2025-6218) i juni 2025.
Konklusion
Udnyttelsen af WinRAR zero-day viser, hvordan almindelig software kan blive en indgang til avancerede cyber-spionageoperationer. Med RomComs stigende aktivitet er det afgørende at holde WinRAR opdateret for at reducere risikoen. Brugere bør også undgå at udpakke arkiver fra ukendte kilder, da selv velkendte filtyper kan indeholde skjulte trusler.
0 svar til “WinRAR zero-day udnyttes til at distribuere RomCom-malware”