Deși patch-urile pentru o vulnerabilitate critică în WinRAR au fost lansate acum aproape un an, grupări cibernetice aliniate Rusiei continuă să o exploateze împotriva organizațiilor din Ucraina. Cercetătorii de la Trend Micro au identificat două campanii distincte, atribuite grupurilor Earth Dahu (cunoscut și ca Gamaredon) și SHADOW-EARTH-066 (alias UAC-0226), care folosesc aceeași fisă de securitate pentru a livra malware de tip stealer.
Vulnerabilitatea CVE-2025-8088
Vulnerabilitatea, catalogată drept CVE-2025-8088, este o eroare de tip path traversal în WinRAR. Aceasta permite unui atacator să scrie fișiere în locații arbitrare de pe sistemul victimei atunci când aceasta deschide o arhivă special concepută. Exploatarea cu succes poate duce la executarea de cod malițios și la instalarea de troieni care fură date sensibile.
Campaniile active
Potrivit raportului Trend Micro, atât Earth Dahu cât și SHADOW-EARTH-066 utilizează această vulnerabilitate pentru a ataca organizații ucrainene. Earth Dahu este un grup cunoscut pentru legăturile cu serviciile de securitate rusești, iar SHADOW-EARTH-066 este o entitate relativ nouă, dar la fel de agresivă. În ambele cazuri, vectorul de atac implică trimiterea de e-mailuri de phishing care conțin arhive WinRAR malițioase.
De ce atacurile persistă
Deși patch-urile sunt disponibile de aproape un an, multe organizații nu le-au instalat încă, fie din neglijență, fie din cauza numărului mare de sisteme de actualizat. Aceasta oferă atacatorilor o fereastră largă de exploatare. În plus, arhivele WinRAR rămân un instrument comun de transfer de fișiere, ceea ce face ca detectarea să fie mai dificilă.
Concluzii și recomandări
Pentru a se proteja, organizațiile trebuie să se asigure că toate instanțele de WinRAR sunt actualizate la cea mai recentă versiune. De asemenea, este esențială instruirea angajaților cu privire la riscurile deschiderii arhivelor din surse necunoscute. În contextul tensiunilor geopolitice actuale, astfel de vulnerabilități rămân arme preferate în războiul cibernetic.