Close Menu
Lỗ hổng zero-day trên WinRAR bị lợi dụng để cài phần mềm độc hại khi giải nén

Lỗ hổng zero-day trên WinRAR bị lợi dụng để cài phần mềm độc hại khi giải nén

3 phút để đọc

Lỗ hổng CVE-2025-8088 trên WinRAR đã bị nhóm tin tặc RomCom khai thác trong các chiến dịch lừa đảo qua email, cài mã độc và chiếm quyền điều khiển thiết bị người dùng.

Một lỗ hổng bảo mật nghiêm trọng, được định danh CVE-2025-8088, vừa được vá trong phiên bản WinRAR 7.13, đã bị tin tặc khai thác như một lỗ hổng zero-day trong các chiến dịch lừa đảo qua email nhằm cài đặt mã độc RomCom.

Theo ghi chú cập nhật của WinRAR, đây là lỗi directory traversal cho phép các tệp nén được tạo đặc biệt có thể giải nén dữ liệu vào thư mục tùy ý do kẻ tấn công chỉ định, thay vì thư mục người dùng chọn. Điều này đồng nghĩa tin tặc có thể chèn tập tin thực thi vào các thư mục khởi động tự động của Windows như:

HOT
⚡ Tin công nghệ nóng mỗi ngày tại TechWire.vn
Xem ngay →
  • %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (cho tài khoản người dùng)
  • %ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (cho toàn hệ thống)

Khi người dùng đăng nhập lại, tệp độc hại này sẽ tự động chạy, cho phép kẻ tấn công thực thi mã từ xa và chiếm quyền kiểm soát thiết bị.

Lỗ hổng ảnh hưởng đến các phiên bản WinRAR, RAR cho Windows, UnRAR và thư viện UnRAR.dll trước 7.13. Các bản dành cho Unix, Android và mã nguồn UnRAR di động không bị ảnh hưởng. Do WinRAR không hỗ trợ tự động cập nhật, người dùng được khuyến cáo tải và cài đặt thủ công phiên bản mới nhất từ trang chính thức win-rar.com để tránh rủi ro.

Lỗ hổng zero-day trên WinRAR bị lợi dụng để cài phần mềm độc hại khi giải nén

Khai thác zero-day để phát tán RomCom

Theo các nhà nghiên cứu Anton Cherepanov, Peter Košinár và Peter Strýček của ESET, lỗ hổng này đã được khai thác trong các email spear phishing chứa tệp RAR độc hại. Khi giải nén, chúng lợi dụng CVE-2025-8088 để cài RomCom backdoor – một mã độc do nhóm tin tặc có liên hệ với Nga phát triển.

RomCom (còn được biết đến với các tên Storm-0978, Tropical Scorpius hoặc UNC2596) là nhóm tấn công khét tiếng chuyên đánh cắp dữ liệu, tống tiền bằng ransomware và thu thập thông tin đăng nhập. Chúng thường xuyên sử dụng lỗ hổng zero-day và phần mềm độc hại tùy chỉnh để duy trì quyền truy cập và đánh cắp thông tin. Trong quá khứ, RomCom từng liên quan đến các chiến dịch ransomware Cuba và Industrial Spy.

ESET cho biết họ sẽ công bố báo cáo chi tiết về hoạt động khai thác lỗ hổng này trong thời gian tới.

Nguồn: Bleeping Computer

https://www.bleepingcomputer.com/news/security/winrar-zero-day-flaw-exploited-by-romcom-hackers-in-phishing-attacks/

Chia sẻ.

Bài viết liên quan