Bezpečnostní experti odhalili závažnú zraniteľnosť v populárnom nástroji na správu archívov WinRAR. Útočníkom sa podarilo využiť bezpečnostnú chybu na automatické spustenie škodlivého kódu po prihlásení do systému Windows. Útok, označený ako cielený, umožnil šírenie malvéru bez vedomia obete, čo mohlo mať rozsiahle následky pre jednotlivcov i firmy.
Skupina RomCom zaútočila nulovým dňom
Incident bol súčasťou sofistikovanej phishingovej kampane, ktorú zrealizovala skupina RomCom, známa svojimi predošlými kybernetickými útokmi. Podľa analytikov zo spoločnosti ESET sa útok vykonal prostredníctvom infikovaných RAR súborov zasielaných e-mailom. Po otvorení prílohy sa škodlivý kód preniesol do priečinka autorun v systéme Windows, čo umožnilo jeho nepozorované spustenie pri ďalšom štarte zariadenia.
Skupina RomCom, známa taktiež pod označeniami Storm-0978, Tropical Scorpius a UNC2596, má bohaté skúsenosti s krádežami prihlasovacích údajov a šírením ransomvéru. Tentokrát však použila tzv. nulový deň – doposiaľ neznámu zraniteľnosť, ktorá dramaticky zvyšuje úspešnosť útoku. Táto taktika umožnila, aby útočníci získali úplnú kontrolu nad kompromitovanými zariadeniami, a to bez akejkoľvek interakcie zo strany používateľa okrem otvorenia škodlivého archívu.
Oprava chyby je už dostupná
Vývojári programu WinRAR už reagovali a chybu opravili vo verzii 7.13. Aktualizácia obsahuje ochranu pred extrahovaním súborov mimo zvoleného adresára, čím eliminuje riziko ich automatického spúšťania. Zraniteľnosti bolo pridelené označenie CVE-2025-8088 a týkala sa výlučne verzií pre Windows vrátane knižnice UnRAR.dll. Verzie pre Unix, Android alebo open-source varianty knižnice UnRAR zraniteľné neboli.
Chýbajúca automatická aktualizácia v programe WinRAR však predstavuje riziko, že veľká časť používateľov zostane zraniteľná, pokiaľ manuálne nestiahne a nenainštaluje opravenú verziu. Tento problém je obzvlášť dôležitý pre firemných používateľov, ktorých zariadenia často obsahujú citlivé údaje.
Dôvera v archívy môže byť nebezpečná
Útok využívajúci automatické spúšťanie infikovaných súborov nie je novinkou. Spojenie tejto techniky s nulovým dňom však výrazne zvyšuje efektivitu, najmä pri cielených phishingových kampaniach. Zatiaľ čo v minulosti sa podobné útoky sústreďovali na pochybné sťahovania, dnes sa často šíria prostredníctvom vierohodne vyzerajúcich e-mailov cielených na konkrétnych zamestnancov.
Podľa bezpečnostných špecialistov je skupina RomCom len jednou z mála skupín schopných takto efektívne zneužiť nové bezpečnostné chyby. Používatelia by preto mali byť mimoriadne obozretní pri otváraní súborov z neoverených zdrojov. Ak pochybnosti pretrvávajú, najlepším riešením je neotvárať súbor vôbec alebo použiť alternatívne bezpečnejšie nástroje.
Spoločnosť ESET už pracuje na podrobnej analýze tejto kybernetickej operácie, ktorá má poskytnúť viac informácií o technikách útočníkov. Je však nepravdepodobné, že problém zmizne zo dňa na deň, keďže mnoho zariadení zostáva bez potrebnej aktualizácie. Ako ukazuje tento prípad, aj zdanlivo bežný softvér môže predstavovať vstupnú bránu pre rozsiahle kybernetické útoky.
