Tin tặc Nga khai thác lỗ hổng zero-day của WinRAR tấn công châu Âu và Canada
Hai nhóm tin tặc Nga đã lợi dụng lỗ hổng zero-day WinRAR để phát tán mã độc qua email lừa đảo, nhắm vào các mục tiêu được chọn lọc kỹ lưỡng.
Tóm tắt nhanh:
Lỗ hổng WinRAR CVE-2025-8088 bị khai thác nhiều tuần, ảnh hưởng tới hàng triệu người dùng.
Hai nhóm tin tặc Nga, RomCom và Paper Werewolf, cùng tận dụng lỗ hổng để phát tán mã độc.
Các kỹ thuật tấn công gồm COM hijacking, cài SnipBot, RustyClaw và Melting Claw.
WinRAR không tự động cập nhật, cần nâng cấp lên bản 7.13 để tránh rủi ro.
Lỗ hổng CVE-2025-8088 và cách thức khai thác
Phần mềm nén tệp phổ biến WinRAR vừa vá lỗ hổng nghiêm trọng CVE-2025-8088 sau khi bị khai thác nhiều tuần liền. Lỗ hổng thuộc dạng path traversal lợi dụng tính năng alternate data streams của Windows, cho phép tệp độc hại được giải nén vào thư mục hệ thống như %TEMP% hoặc %LOCALAPPDATA – vốn có khả năng thực thi mã.
ESET phát hiện dấu hiệu tấn công từ ngày 18/7 khi phát hiện tệp bất thường trong đường dẫn lạ. Chỉ sáu ngày sau khi được thông báo, WinRAR đã phát hành bản vá vào ngày 30/7 (phiên bản 7.13).
Nhóm RomCom và Paper Werewolf cùng khai thác
ESET xác định nhóm RomCom – tội phạm mạng có động cơ tài chính, hoạt động lâu năm tại Nga – đứng sau một phần chiến dịch tấn công. Đây là lần thứ ba nhóm này dùng lỗ hổng zero-day trong các chiến dịch nhắm mục tiêu.
Đáng chú ý, công ty an ninh mạng Nga Bi.ZONE cho biết một nhóm khác, Paper Werewolf (còn gọi là GOFFEE), cũng đang khai thác CVE-2025-8088 song song. Paper Werewolf còn lợi dụng cả CVE-2025-6218, một lỗ hổng WinRAR khác được vá trước đó 5 tuần, thông qua email giả mạo nhân viên Viện Nghiên cứu Toàn Nga để cài mã độc vào hệ thống nạn nhân.
Hiện chưa rõ hai nhóm này có liên quan hay mua thông tin từ cùng một nguồn trên chợ đen hay không.
Chuỗi tấn công tinh vi
Theo ESET, RomCom triển khai ba chuỗi tấn công chính:
COM hijacking: Tệp DLL độc hại trong tệp nén được kích hoạt bởi ứng dụng như Microsoft Edge, giải mã shellcode để kiểm tra thông tin máy và cài công cụ tấn công Mythic Agent nếu phù hợp.
Executable Payload: Chạy file thực thi Windows để cài SnipBot, phần mềm gián điệp chặn phân tích trong môi trường ảo.
Malware đa lớp: Sử dụng các mã độc khác như RustyClaw và Melting Claw để duy trì quyền truy cập và kiểm soát.
Nguy cơ từ việc chậm cập nhật WinRAR
WinRAR từng nhiều lần là mục tiêu của tin tặc do số lượng người dùng lớn (khoảng 500 triệu) và việc không tự động cập nhật. Người dùng phải tự tải và cài bản vá, khiến nhiều hệ thống tồn tại lỗ hổng lâu dài.
ESET khuyến cáo tránh sử dụng mọi phiên bản WinRAR trước 7.13 và cập nhật ngay để khắc phục tất cả lỗ hổng đã biết.
