Útočníci dokázali z neupravenej verzie WinRAR-u spustiť škodlivý program automaticky hneď po prihlásení používateľa do Windows. Podľa bezpečnostných expertov išlo o cielený útok, pri ktorom bola zneužitá dosiaľ neopravená chyba, aby sa do systému nenápadne dostal škodlivý kód. Obeť tak nemusela nič navyše otvoriť, stačilo, aby po rozbalení archívu reštartovala alebo znova prihlásila počítač.
Nulový deň v rukách skupiny RomCom
Analytici zo spoločnosti ESET potvrdili, že medzera v zabezpečení bola súčasťou sofistikovanej phishingovej kampane, ktorú majú na svedomí útočníci zo skupiny RomCom. Ruská skupina, známa aj pod označeniami Storm‑0978, Tropical Scorpius a UNC2596, sa dlhodobo zameriava na kradnutie prihlasovacích údajov a nasadzovanie ransomvéru. V minulosti bola prepojená s operáciami Cuba a Industrial Spy a je známa tým, že sa nevyhýba ani nasadzovaniu vlastného malvéru pripraveného presne na mieru útoku.
Podľa bezpečnostného výskumníka Petra Strýčeka sa konkrétny scenár zneužitia odohrával prostredníctvom RAR súborov rozosielaných ako príloha e-mailu. Po ich otvorení sa malvér dostal do autorun priečinka v systéme Windows, čo útočníkom umožnilo úplnú kontrolu nad napadnutým zariadením už pri ďalšom štarte.
Oprava je už dostupná, no aktualizácia je na vás
Vývojári WinRAR-u chybu opravili vo verzii 7.13. Tá bráni tomu, aby archív mohol rozbaliť súbory mimo adresára, ktorý zvolí používateľ. Zraniteľnosť bola identifikovaná ako CVE‑2025‑8088 a podľa správy výrobcu nepostihuje žiadne verzie pre Unix, Android ani open‑source varianty knižnice UnRAR. Problém sa týkal iba verzií pre Windows vrátane knižnice UnRAR.dll.
Keďže WinRAR nemá automatickú aktualizáciu, je nevyhnutné, aby si používatelia novú verziu stiahli a nainštalovali manuálne zo stránky win-rar.com. Ignorovanie aktualizácie znamená, že stačí jeden neuvážený klik na prílohu a systém sa môže stať trvalým domovom pre útočníkov. To platí najmä pre firemných používateľov, ktorí majú v počítači citlivé údaje.
Prečítajte si tiež
Výstraha pre tých, čo archívom dôverujú
Koncept útoku využívajúci extrahovanie súborov do priečinka s automatickým spúšťaním nie je nový, no v tomto prípade ho útočníci prepojili s nulovým dňom, čo výrazne zvyšuje jeho úspešnosť. Kým zvyčajne sa takéto archívy nachádzajú v pochybných stiahnutých súboroch, dnes prichádzajú v e-mailoch, ktoré často vyzerajú dôveryhodne a sú cielené na konkrétnych zamestnancov.
Bezpečnostní špecialisti pritom varujú, že RomCom je len jednou z mála skupín, ktoré majú odborné schopnosti na rýchle zneužitie podobných chýb. Ak teda používateľ nedokáže overiť pôvod súboru, mal by jeho otvorenie odložiť alebo zvoliť bezpečnejšie riešenie.
ESET už pripravuje podrobnú analýzu celej operácie, ktorá má odhaliť ďalšie techniky útočníkov. Či sa už do tej doby objavia nové kampane, v ktorých RomCom či iné skupiny vyťažia z oneskorenej aktualizácie, ostáva otvorené. Odpoveď na to môže ukázať, koľko počítačov zostane ešte dlhé mesiace zraniteľných.
