Detaylar, kötü amaçlı yazılımlarla enfekte olan Winrar sıfır gün saldırılarında ortaya çıkıyor

Araştırmacılar, CVE-2025-8088 olarak izlenen yeni bir Winrar Path geçiş güvenlik açığının, farklı kötü amaçlı yazılım yüklerini düşürmek için Rus ‘Romcom’ hackleme grubunun sıfır gün saldırılarında nasıl kullanılacağını ayrıntılı olarak yayınladılar.

Romcom (aka Storm-0978 ve Tropikal Scorpius), Firefox (CVE-2024-9680, CVE-2024-49039) ve Microsoft Office (CVE-2024-49039) dahil olmak üzere bir Rus siber boyama tehdit grubudur (CVE-2024-49039) (CVE-2023-3684).

ESET, Romcom’un 18 Temmuz 2025’te Winrar’da belgesiz bir yol geçiş sıfır gün kırılganlığından yararlandığını ve popüler arşiv aracının arkasındaki takımı bilgilendirdiğini keşfetti.

“İstismarın analizi, şimdi CVE-2025-8088 atanan güvenlik açığının keşfedilmesine yol açtı: alternatif veri akışlarının kullanılmasıyla mümkün olan bir yol geçiş güvenlik açığı. Winrar, 30 Temmuz 2025’te yamalı bir versiyon yayınladı.”

Winrar, 30 Temmuz 2025’te 7.13 sürümüyle CVE-2025-8088 tanımlayıcısına atanan kusur için bir düzeltme yayınladı. Bununla birlikte, beraberindeki danışmanlıkta aktif sömürüden bahsedilmemiştir.

ESET, bir kullanıcı özel hazırlanmış bir arşiv açtığında tehlikeli yürütülebilir ürünleri otomatik yollara çıkarmak için kullanıldığına inanılan geçen hafta geç saatlerde bleepingcomputer için kötü niyetli etkinliği doğruladı.

Güvenlik açığı, Winrar’daki başka bir yol geçiş kusuruna benziyordu, bir ay önce açıklandı, CVE-2025-6218 olarak izlendi.

ESET’in raporu, kötü niyetli RAR arşivlerinin, hedefler arşivi açtığında saldırgan belirtilen klasörlere çıkarılan kötü niyetli bir DLL ve Windows kısayolunu gizlemek için kullanılan çok sayıda gizli reklam (alternatif veri akışı) yükü içerdiğini açıklıyor.

Reklam girişlerinin birçoğu, ESET’in zararsız görünümlü Winrar uyarıları oluşturmak için kasıtlı olarak eklendiğine inandığı geçersiz yollar içindir ve kötü amaçlı DLL, EXE ve LNK dosya yollarının varlığını gizler.

Yürütülebilir dosyalar % Temp % veya % LocalAppData % dizinlerine yerleştirilirken, Windows kısayolları (LNK dosyaları), Windows başlangıç dizinine daha sonraki giriş üzerine yürütülecek şekilde bırakılır.

ESET, hepsi bilinen Romcom kötü amaçlı yazılım ailelerini sunan üç farklı saldırı zincirini belgeledi:

• Efsanevi ajan – updater.lnk, AES kablo kodunu şifresini çözen ve yalnızca sistemin etki alanı sabit kodlu bir değerle eşleşiyorsa çalışan bir COM kaçırma kayıt defteri konumuna msedge.dll ekler. Shellcode, C2 iletişimi, komut yürütme ve yük dağıtımını sağlayan mit ajanını başlatır.
• SnipbaT – Ekran ayarları.lnk, geçersiz sertifikaya sahip değiştirilmiş bir macun CAC olan apbxhelper.exe çalıştırır. Saldırgan sunucularından ek yükler indiren kabuk kodunu çözmeden önce ≥69 yakın zamanda açılan belgeleri kontrol eder.
• Erimiş – Sacers.lnk, saldırganın altyapısından daha fazla kötü amaçlı modül getiren ve yürüten bir MytingClaw DLL’yi indiren complaince.exe (RustyClaw) başlatır.

Rus siber güvenlik firması Bi.zone ayrıca, ‘kağıt kurtadam’ olarak izledikleri ayrı bir etkinlik kümesini gözlemlediğini ve ayrıca CVE-2025-8088 ve CVE-2025-6218’i saldırılarda kullandığını bildiriyor.

ESET, GitHub deposundaki en son Romcom saldırıları için uzlaşma göstergelerini paylaştı.

Microsoft 2023’te Windows’a yerel RAR desteği eklemesine rağmen, özellik yalnızca daha yeni sürümler için kullanılabilir ve yetenekleri Winrar’a pişirilenler kadar kapsamlı değildir.

Bu nedenle, birçok güç kullanıcısı ve kuruluşu, arşivleri yönetmek için Winrar’a güvenmeye devam ediyor, bu da onu bilgisayar korsanları için ana hedef haline getiriyor.

Rarlab, BleepingComputer’a CVE-2025-8088’in sömürülmesinin ayrıntılarının farkında olmadıklarını, herhangi bir kullanıcı raporu almadığını ve ESET’e yalnızca bir yama geliştirmek için gereken teknik bilgileri paylaştıklarını söyledi.

Winrar bir otomatik güncelleme özelliği içermez, bu nedenle kullanıcıların en son sürümü buradan indirip yüklemesi gerekir.