Επείγον: 0-day ευπάθεια στο WinRAR αξιοποιείται εδώ και εβδομάδες με κυκλώματα να στοχοποιούν χρήστες με αρχεία-παγίδες

Μια υψηλής σοβαρότητας «0‑day» ευπάθεια στο WinRAR (CVE-2025-8088) αξιοποιήθηκε επί εβδομάδες από δύο ρωσόφωνες ομάδες κυβερνοεγκλήματος, επιτρέποντας την αθόρυβη πτώση backdoors όταν ο στόχος άνοιγε πονηρά αρχεία RAR που διακινούνταν μέσω καλοσχεδιασμένων phishing emails. Σύμφωνα με την ESET, η ευπάθεια εντοπίστηκε στις 18 Ιουλίου 2025 και αναφέρθηκε άμεσα στους δημιουργούς του WinRAR, οι οποίοι κυκλοφόρησαν διορθώσεις στην έκδοση 7.13 (30 Ιουλίου 2025), καλύπτοντας και συναφή components όπως UnRAR.dll και τα command‑line utilities για Windows.

Η τεχνική εκμετάλλευση συνδυάζει Alternate Data Streams (ADS) των Windows με άγνωστο έως τότε path traversal bug, ώστε κατά το άνοιγμα ενός «αθώου» αρχείου μέσα στο RAR να ξεπακετάρονται αθέατα κακόβουλα payloads σε κρίσιμες διαδρομές, όπως %TEMP%, %LOCALAPPDATA% και τον φάκελο εκκίνησης (Startup) για επίμονη παρουσία. Η ESET αποδίδει τις επιθέσεις πρωτίστως στη RomCom (γνωστή και ως Storm‑0978/UNC2596), σημειώνοντας ότι είναι τουλάχιστον η τρίτη φορά που καταχράται 0‑day, ενώ ξεχωριστή αναφορά από τη ρωσική BI.ZONE δείχνει δεύτερο δρώντα, το Paper Werewolf (aka GOFFEE), να εκμεταλλεύεται επίσης την ίδια ευπάθεια, παράλληλα με μια άλλη πρόσφατη στα WinRAR (CVE‑2025‑6218).

Στα δείγματα που ανέλυσε η ESET, τα attachments παρουσιάζονταν ως αιτήσεις εργασίας/βιογραφικά και στοχοποιούσαν εταιρείες στους κλάδους χρηματοοικονομικών, μεταποίησης, άμυνας και logistics σε Ευρώπη και Καναδά· τα chains περιλάμβαναν SnipBot variant, RustyClaw/MeltingClaw και Mythic agent, με τεχνικές όπως COM hijacking, LNK persistence, invalid code‑signing και anti‑analysis ελέγχους μέσω Registry. Η καταγραφή της Ars Technica επιβεβαιώνει την ενεργή εκμετάλλευση, το χρονολόγιο ανίχνευσης/διόρθωσης και το εύρος ικανοτήτων του exploit, υπογραμμίζοντας ότι η κακόβουλη έγχυση εκτελέσιμων πετυχαίνεται σε διαδρομές που οδηγούν σε code execution.

Σε πρακτικό επίπεδο, κρίσιμη είναι η άμεση αναβάθμιση σε WinRAR 7.13 ή νεότερο, καθώς και η ενημέρωση εφαρμογών/εργαλείων που ενσωματώνουν UnRAR.dll ή τον portable κώδικα UnRAR, ειδικά όπου οι εξαρτήσεις δεν ενημερώνονται αυτόματα. Η χρονική εγγύτητα με την αποκάλυψη/διόρθωση άλλης path traversal ευπάθειας (CVE‑2025‑6218, 19 Ιουνίου 2025) ενισχύει την ανάγκη για επιθετική υιοθέτηση patches και ελέγχους στις αλυσίδες εφοδιασμού λογισμικού που βασίζονται σε βιβλιοθήκες αποσυμπίεσης.

Το επεισόδιο υπογραμμίζει τον διαρκή κίνδυνο από εργαλεία «υποδομής» όπως file archivers, όπου μια «αόρατη» ατέλεια στη διαχείριση paths/ADS μπορεί να μετατρέψει μια συνηθισμένη ενέργεια (άνοιγμα RAR) σε αθόρυβο compromise με επίμονη παρουσία· η ανθεκτικότητα θα κριθεί στην ταχύτητα εφαρμογής ενημερώσεων, στην υγιεινή εξαρτήσεων και στην εκπαίδευση απέναντι σε στοχευμένα lures.