Romcom Hackers tarafından kimlik avı saldırılarında sömürülen Winrar Zero-Day Flaw


Winrar

CVE-2025-8088 olarak izlenen yakın zamanda sabit bir Winrar güvenlik açığı, ROMCOM kötü amaçlı yazılımını kurmak için kimlik avı saldırılarında sıfır gün olarak kullanıldı.

Kusur, Winrar 7.13’te sabitlenmiş olan ve özel olarak hazırlanmış arşivlerin saldırgan tarafından seçilen bir dosya yoluna dosyaları çıkarmasına izin veren bir dizin geçiş güvenlik açığıdır.

Winrar 7.13 Changelog, “Bir dosyayı çıkarırken, Winrar’ın önceki sürümleri, RAR, Unrar, taşınabilir, taşınabilir unar kaynak kodu ve unrar.dll’nin Windows sürümleri, özel olarak hazırlanmış bir arşivde tanımlanan bir yol kullanarak kandırılabilir.”

“Android için de RAR olarak RAR, UNRAR, taşınabilir Unrar Kaynak Kodu ve UNRAR kütüphanesinin UNIX sürümleri etkilenmez.”

Bu güvenlik açığını kullanarak saldırganlar, yürütülebilir dosyaları otomatik yollara çıkaran arşivler oluşturabilir, örneğin şu adreste bulunan Windows başlangıç klasörü gibi

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local to user)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (Machine-wide)

Bir daha bir kullanıcı oturum açtığında, yürütülebilir dosyası otomatik olarak çalışır ve saldırganın uzaktan kod yürütülmesine izin verir.

Winrar bir otomatik güncelleme özelliği içermediğinden, tüm kullanıcıların en son sürümü Win-rar.com’dan manuel olarak indirmeleri ve yüklemeleri şiddetle tavsiye edilir, böylece bu güvenlik açığından korunur.

Saldırılarda sıfır gün olarak sömürüldü

Kusur, ESET’ten Anton Cherepanov, Peter Košinár ve Peter Strýček tarafından keşfedildi ve Strýček, BleepingComputer’a kötü amaçlı yazılım kurmak için kimlik avı saldırılarında aktif olarak sömürüldüğünü söyledi.

“ESET, RAR dosyaları içeren eklere sahip spearfishing e -postaları gözlemledi.” Dedi.

Bu arşivler, Romcom backdoors’u teslim etmek için CVE-2025-8088’den yararlandı. Romcom Rusya’ya uyumlu bir gruptur. “

Romcom (ayrıca Storm-0978, Tropikal Scorpius veya UNC2596 olarak da izlenir), kimlik yazılımları ve veri-hırsızlığı gasp saldırılarına bağlı bir Rus hack grubudur ve kimlik bilgilerini çalmaya odaklanan kampanyalardır.

Grup, saldırılarda sıfır gün güvenlik açıklarını kullanması ve veri-hırsızlığı saldırılarında, kalıcılık ve arka kapı olarak hareket etmek için özel kötü amaçlı yazılım kullanımı ile bilinir.

Romcom daha önce Küba ve endüstriyel casus dahil olmak üzere çok sayıda fidye yazılımı operasyonuna bağlanmıştı.

ESET, daha sonraki bir tarihte yayınlanacak olan sömürü ile ilgili bir rapor üzerinde çalışıyor.

Picus kırmızı raporu 2025

Şifre mağazalarını hedefleyen kötü amaçlı yazılımlar, saldırganlar gizli mükemmel soygun senaryolarını yürütürken, kritik sistemleri sızdırarak ve sömürerek 3 kat arttı.

Saldırıların% 93’ünün ve bunlara karşı nasıl savunulacağının arkasındaki en iyi 10 Miter ATT & CK tekniklerini keşfedin.



Source link