Google Threat Intelligence Group a evidențiat un fenomen interesant, bazat pe o vulnerabilitate WinRAR anterioară: infractorii cibernetici chinezi și ruși atacă în mod activ vulnerabilitatea WinRAR, care a fost remediată de dezvoltatori într-o actualizare din iulie 2025, iar acum este utilizată nu numai împotriva țintelor ucrainene, ci și pe scară mai largă.
Vulnerabilitatea, care rulează sub CVE-2025-8088, permite atacatorilor să plaseze în mod nedetectat fișiere de cod malițios în diverse directoare critice, inclusiv în directorul Windows Startup, din care poate fi executat după repornirea sau repornirea sistemului, deschizând o ușă activă în permanență. Potrivit Google Threat Intelligence Group, această vulnerabilitate a fost închisă de la lansarea WinRAR 7.13, însă utilizatorii WinRAR nu par să le pasă prea mult, ceea ce i-ar putea pune în pericol.
Cu ajutorul acestor versiuni vulnerabile ale WinRAR, infractorii cibernetici folosesc un atac atent conceput pentru a livra țintelor fișiere comprimate cu sarcini ascunse: dacă utilizatorul deschide fișierul, codul malițios poate fi plasat într-un director critic care vizează cel mai adesea directorul Windows Startup. Aceasta este o alegere evidentă, deoarece fișierele executabile plasate acolo pot fi executate la pornirea sistemului, asigurând prezența constantă a codului malițios - până când utilizatorul își dă seama de ele.
WinRAR este încă destul de popular, deoarece poate fi utilizat pentru a crea fișiere compacte, care economisesc spațiu, și pot fi protejate prin parolă și criptate, având și capabilitatea de a nu fi scanabil conținutul acestuia în tranzit, mărind securitatea la upload sau download. WinRAR este disponibil într-o versiune de încercare de 40 zile, după care ar trebui să vă înregistrați, lucru despre care software-ul vă avertizează de fiecare dată când o porniți, dar dacă închideți fereastra puteți continua să utilizați aplicația, chiar dacă ulterior nu aveți permisiunea legală să o utilizați.
RARLAB, dezvoltatorul software-ului, a inclus un avertisment de securitate la capătul acestei ferestre, care atrage atenția asupra amenințării la adresa securității și asupra necesității de a actualiza software-ul, dar deoarece fereastra este închisă reflexiv de majoritatea utilizatorilor, mulți nu observă aceste linii de text.
Rapoartele sugerează că atacatorii ar putea viza atât utilizatorii obișnuiți, cât și utilizatorii de afaceri, cu rapoarte de atacuri specifice provenind din Indonezia, America Latină și Brazilia, dar gama de utilizatori afectați ar putea fi mult mai largă.
Oricine utilizează WinRAR, și are o versiune 7.13 sau mai veche, ar fi ideal să procedeze imediat cu actualizarea, de aici.
