سوءاستفاده از ۰-Day در WinRAR برای انتشار بدافزار RomCom

یک آسیب‌پذیری روز-صفر (۰-Day) در نرم‌افزار محبوب فشرده‌سازی فایل WinRAR شناسایی شده که توسط گروه تهدید وابسته به روسیه با نام RomCom در کمپین‌های فیشینگ برای انتشار بدافزار مورد سوءاستفاده قرار می‌گیرد.

این نقص امنیتی که در ۱۸ جولای ۲۰۲۵ کشف و با شناسه CVE-2025-8088 ثبت شده، یک آسیب‌پذیری Path Traversal است که از قابلیت Alternate Data Streams (ADS) سوءاستفاده می‌کند تا در هنگام استخراج فایل‌های فشرده، بدافزار را به‌صورت مخفیانه در مسیرهای حساس سیستم قرار دهد و بدون هشدار به کاربر اجرا کند.

نکات کلیدی

1. این آسیب‌پذیری اجازه می‌دهد مهاجم از طریق آرشیوهای آلوده، بدافزار روی سیستم قربانی نصب کند.

2. حمله از طریق ایمیل‌های فیشینگ برای انتشار بدافزار RomCom روی ویندوز انجام می‌شود.

3. برای رفع مشکل، باید فوراً به نسخه WinRAR 7.13 به‌روزرسانی شود.

جزئیات آسیب‌پذیری

• نسخه‌های WinRAR تا ۷.۱۲ و همچنین UnRAR.dll، Portable UnRAR Source Code و اجزای مشابه تحت ویندوز آسیب‌پذیر هستند.

• اکسپلویت با ایجاد آرشیوهایی با ساختار دایرکتوری دستکاری‌شده، مکان پیش‌فرض استخراج را دور می‌زند و فایل‌ها را در مسیرهای سیستمی حساس قرار می‌دهد.

• این روش می‌تواند باعث Privilege Escalation و ایجاد پایداری (Persistence) روی سیستم شود.

• پس از استخراج فایل آلوده، بدافزار بدون نیاز به تعامل بیشتر کاربر اجرا می‌شود.

روش حمله RomCom

• بازه حمله: ۱۸ تا ۲۱ جولای ۲۰۲۵

• هدف: شرکت‌های فعال در بخش‌های مالی، تولید، دفاعی و لجستیک در اروپا و کانادا

• شیوه: ارسال ایمیل‌های Spear-Phishing با فایل‌های RAR جعلی مانند:

  • Eli_Rosenfeld_CV2 – Copy (10).rar

  • cv_submission.rar

• عملکرد پس از آلودگی:

  • برقراری ارتباط C2

  • شناسایی و اکتشاف شبکه (Reconnaissance)

  • حرکت جانبی (Lateral Movement)

  • استخراج داده‌ها (Data Exfiltration)

مشخصات فنی آسیب‌پذیری

راهکارها

• به‌روزرسانی فوری به WinRAR 7.13 یا بالاتر

• اسکن فایل‌های فشرده با آنتی‌ویروس و EDR قبل از استخراج

• محدود کردن دسترسی به پردازش آرشیو در محیط‌های سازمانی

• آگاه‌سازی کاربران نسبت به ریسک فایل‌های فشرده ناشناس