صدمه‌پذیری WinRAR مسیر اجرای بدافزار را به‌صورت مخفی فعال کرد_خبردار

یک صدمه‌پذیری امنیتی زیاد جدی در برنامه فشرده‌سازی و بایگانی WinRAR کشف شده و اکنون گروه‌های پیشرفته تهدید سایبری در حال سوءاستفاده فعال از آن می باشند. این ضعف که با شناسه CVE-2025-8088 ردیابی می‌شود در نسخه‌های 7.12 و قدیمی‌تر وجود داشته و امتیاز شدتی بالا برابر با 8.4 از 10 دریافت کرده است. تحلیلگران امنیتی اظهار کرده‌اند این نقص مربوط به مسیر‌یابی فایل‌ها زمان استخراج آرشیوها است و هکرها می‌توانند کد دلخواه خود را از راه دور روی دستگاه‌های صدمه‌دیده اجرا کنند.

به گزارش سرویس امنیت رسانه اخبار فناوری و تکنولوژی تکنا، گروه‌های وابسته به دولت چین و روسیه از این صدمه‌پذیری برای دعوا‌های موثر منفعت گیری کرده‌اند. یکی از این گروه‌ها که به «امارانث دراگون» شناخته می‌شود و ربط‌هایی با APT41 دارد از ابزارهای مشروع در کنار یک لودر سفارشی منفعت برده تا بارهای رمزگذاری‌شده را از طریق سرورهایی که پشت Cloudflare نهان می باشند به سیستم‌های مقصد منتقل کنند.

گزارش‌های دیگر مشخص می کند گروه روس‌محور روم‌کام (RomCom) که پیش‌تر در دعوا به نهادهای نظامی اوکراین با منفعت گیری از بدافزار NESTPACKER شناخته شده، این چنین از همین ضعف برای گسترش بدافزار منفعت گیری کرده است. دیگر گروه‌های تهدید شامل APT44، Turla، Carpathian و گروه‌های مرتبط با چین نیز از بدافزار POISONIVY در کمپین‌های خود منفعت برده‌اند.

تحقیقات امنیتی مشخص می کند نشانه‌های اولیه سوءاستفاده از این ضعف به اواسط جولای 2025 باز می‌گردد و «امارانث دراگون» فعالیت‌های خود را از اوت همان سال اغاز کرده است. مهاجمان با منفعت گیری از ویژگی Alternate Data Streams در فایل‌های آرشیو نسخه مخفی بدافزار را همراه با یک سند بی‌خطر ظاهری قرار خواهند داد به‌طوری که کاربر زمان دیدن فایل مهم در واقع بار مخرب را نیز فعال می‌کند.

متخصصان امنیتی اصرار کرده‌اند که اجتناب از بروزرسانی نسخه‌های صدمه‌پذیر WinRAR می‌تواند خطر را افزایش دهد و پیشنهاد کرده‌اند کاربران و سازمان‌ها هرچه سریع تر برنامه را به نسخه 7.13 یا بالاتر ارتقا دهند تا از اجرای این نوع حملات جلوگیری شود.