26.01.2026
1 хв
356
Google Threat Intelligence попереджає: критична уразливість у WinRAR, яку спочатку використовували пов’язані з Росією та Китаєм хакерські угруповання в атаках проти України, сьогодні активно застосовується у глобальних кампаніях з вимагання, крадіжки облікових даних і поширення шкідливого ПЗ.
Уразливість, відстежувана як CVE-2025-8088, вперше була зафіксована у фішингових кампаніях проти українських державних і військових структур. Зловмисники розсилали шкідливі RAR-архіви, які після відкриття забезпечували початковий доступ до систем жертв.
За даними Google, згодом експлойт вийшов за межі кібершпигунства і став інструментом фінансово мотивованих атак. Його активно використовують для доставки ransomware, бекдорів і троянів віддаленого доступу.
Уразливість належить до класу n-day, тобто вона вже виправлена, але продовжує масово експлуатуватися через повільне встановлення оновлень користувачами. Ключовий механізм атаки — path traversal у поєднанні з технологією Alternative Data Streams (ADS) у Windows. Це дозволяє приховано записувати шкідливі файли поза директорією розпакування, зокрема безпосередньо у папку автозапуску Windows.
WinRAR є одним із найпоширеніших архіваторів у Windows-середовищі й часто роками використовується без оновлень. Саме це зробило його привабливою ціллю для атак.
Google повідомляє, що пов’язані з Росією угруповання (UNC4895 / RomCom, APT44, Armageddon, Tura) застосовували уразливість у кампаніях проти України, використовуючи Snipbot, HTA-завантажувачі та STOCKSTAY. Актори, пов’язані з Китаєм, застосовували бекдор POISONIVY. Після цього техніку швидко підхопили кіберзлочинці, які поширювали AsyncRAT, XWorm і банківське шкідливе ПЗ по всьому світу.
CVE-2025-8088 наочно демонструє, як інструменти кібервійни проти України швидко стають частиною масового кіберзлочинного ландшафту. Google закликає негайно оновити WinRAR до версії 7.13, а також контролювати появу підозрілих файлів у папках автозапуску як ознаку компрометації.
