最近被修复的WinRAR漏洞(编号CVE-2025-8088)曾被作为零日漏洞在钓鱼攻击中被利用,用于安装RomCom恶意软件。
该漏洞是一个目录遍历漏洞,已在WinRAR 7.13版本中修复。借助此漏洞,经过特殊构造的压缩包可将文件提取到攻击者选定的文件路径中。
WinRAR 7.13的更新日志中写道:“在提取文件时,旧版本的WinRAR、Windows版RAR、UnRAR、便携版UnRAR源代码及UnRAR.dll可能会被诱导,使用经过特殊构造的压缩包中定义的路径,而非用户指定的路径。”
Unix版RAR、UnRAR、便携版UnRAR源代码及UnRAR库,以及安卓版RAR均不受此影响。
利用这一漏洞,攻击者可创建压缩包,将可执行文件提取到自动运行路径中,例如以下Windows启动文件夹:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (用户本地路径)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (计算机全局路径)
当用户下次登录时,这些可执行文件会自动运行,使攻击者能够实现远程代码执行。
由于WinRAR不具备自动更新功能,强烈建议所有用户从win-rar.com手动下载并安装最新版本,以防范该漏洞带来的风险。
在攻击中作为零日漏洞被利用
该漏洞由ESET的发现。据透露,该漏洞已在钓鱼攻击中被活跃利用以安装恶意软件。安全研究人员表示:“ESET已观测到带有包含RAR文件的附件的鱼叉式钓鱼邮件。”这些压缩包利用CVE-2025-8088漏洞分发RomCom后门程序。
RomCom,也被追踪为Storm-0978、Tropical Scorpius或UNC2596,是一个俄罗斯黑客组织,涉及勒索软件、数据盗窃勒索攻击,以及专注于窃取凭证的活动。
该组织以在攻击中使用零日漏洞,以及使用定制恶意软件进行数据盗窃、维持持久控制和充当后门而闻名。据悉,RomCom此前已被证实与多个勒索软件行动有关,包括Cuba和Industrial Spy行动。
1. 本版块文章内容及资料部分来源于网络,不代表本站观点,不对其真实性负责,也不构成任何建议。
2. 部分内容由网友自主投稿、编辑整理上传,本站仅提供交流平台,不为该类内容的版权负责。
3. 本版块提供的信息仅作参考,不保证信息的准确性、有效性、及时性和完整性。
4. 若您发现本版块有侵犯您知识产权的内容,请及时与我们联系,我们会尽快修改或删除。
5. 使用者违规、不可抗力(如黑客攻击)或第三方擅自转载引发的争议,联盟不承担责任。
6. 联盟可修订本声明,官网发布即生效,继续使用视为接受新条款。
