Кіберексперти Google повідомили, що кілька хакерів, зокрема тих, яких підтримують держструктури, використовують критичну уразливість у RARLAB WinRAR для отримання доступу до файлів користувачів.
Кіберексперти Google повідомили, що кілька хакерів, зокрема тих, яких підтримують держструктури, використовують критичну уразливість у RARLAB WinRAR для отримання доступу до файлів користувачів.
«Виявлена та виправлена в липні 2025 року, вразливість продовжує використовуватися у різних операціях зловмисниками, пов’язаними з росією та Китаєм, а також зловмисниками, які мають фінансові мотиви», — заявили експерти Google Threat Intelligence Group (GTIG).
У Hacker News повідомляють, що ця вразливість траверсування шляху дозволяє розміщувати файли в теці автозавантаження Windows. Цей недолік був виправлений у версії WinRAR 7.13, випущеній 30 липня 2025 року. Проте на не пропатчених версіях вразливість дозволяє хакерам виконати довільний код, створивши шкідливі архівні файли.
Компанія ESET, яка виявила та повідомила про цей дефект безпеки, заявила, що спостерігала за подвійною фінансовою та шпигунською групою, відомою як RomCom (також відома як CIGAR або UNC4895), яка використовувала цю вразливість ще 18 липня 2025 року.
Зазначається, що російські хакери з Sandworm використовували цю вразливість для «розміщення файлу-приманки з українським іменем» та шкідливого файлу LNK, який намагається завантажити додаткові файли. А росіяни з Gamaredon проводили атаки на українські урядові установи за допомогою шкідливих RAR-архівів, що містять файли HTML Application (HTA).
Також згадуються зловмисники з Turla, які використали цю вразливість, щоб інфікувати комп’ютери шкідливим софтом STOCKSTAY. Вони користувалися «приманками», пов’язаними з військовою діяльністю України та операціями з використанням дронів.
