En nyligen upptäckt WinRAR-sårbarhet (zero-day) har utnyttjats i aktiva phishingkampanjer av hackargruppen RomCom. Sårbarheten gör det möjligt för angripare att automatiskt köra skadliga filer vid systemstart. Säkerhetsexperter uppmanar användare att uppdatera omedelbart för att undvika intrång.
RomCom-hackare beväpnar WinRAR-sårbarheten
Säkerhetsforskare från ESET avslöjade att sårbarheten, spårad som CVE-2025-8088, är en ”directory traversal”-sårbarhet. Den gör det möjligt för specialgjorda arkivfiler att extrahera skadliga körbara filer till Windows Startup-mappen. Väl där körs skadeprogrammet automatiskt varje gång systemet startas.
Hotaktören RomCom, även känd som Storm-0978, Tropical Scorpius eller UNC2596, använde spjutfiske-mejl för att leverera dessa skadliga arkiv. Målen fick trovärdiga beten som, när de öppnades, startade infekteringsprocessen.
Framträdande hotaktör med historik av zero-day-attacker
RomCom har tidigare genomfört ransomware- och datastöldkampanjer och använder ofta zero-day-exploits. Gruppen är verksam inom ryska cyberkriminella nätverk och riktar sig ofta mot högprofilerade offer.
Patch släppt, men manuella uppdateringar krävs
Leverantören har släppt WinRAR version 7.13 för att åtgärda sårbarheten. WinRAR har dock ingen automatisk uppdateringsfunktion. Användare måste manuellt ladda ner och installera den senaste versionen från den officiella webbplatsen för att säkra sina system.
Rekommenderade åtgärder
Säkerhetsexperter rekommenderar följande steg:
- Uppdatera till WinRAR 7.13 omedelbart
- Undvik att öppna arkivfiler från okända källor
- Aktivera säkerhetsverktyg på klienter som kan upptäcka misstänkt filbeteende
Slutsats
WinRAR-sårbarheten understryker riskerna med icke-uppdaterad programvara och uthålligheten hos avancerade hotaktörer som RomCom. Eftersom exploiten nu är allmänt känd löper ouppdaterade system en kraftigt ökad risk. Användare bör agera snabbt för att installera den senaste versionen och vara vaksamma mot phishinghot.
0 svar till ”WinRAR-sårbarhet utnyttjad av RomCom-hackare i riktade attacker”