آسیب‌پذیری WinRAR مسیر اجرای بدافزار را به‌صورت مخفی فعال کرد

یک آسیب‌پذیری امنیتی بسیار جدی در برنامه فشرده‌سازی و بایگانی WinRAR کشف شده و اکنون گروه‌های پیشرفته تهدید سایبری در حال سوءاستفاده فعال از آن هستند. این ضعف که با شناسه CVE-2025-8088 ردیابی می‌شود در نسخه‌های 7.12 و قدیمی‌تر وجود داشته و امتیاز شدتی بالا برابر با 8.4 از 10 دریافت کرده است. تحلیلگران امنیتی اعلام کرده‌اند این نقص مربوط به مسیر‌یابی فایل‌ها هنگام استخراج آرشیوها است و هکرها می‌توانند کد دلخواه خود را از راه دور روی دستگاه‌های آسیب‌دیده اجرا کنند.
به گزارش سرویس امنیت رسانه اخبار فناوری و تکنولوژی تکنا، گروه‌های وابسته به دولت چین و روسیه از این آسیب‌پذیری برای حمله‌های هدفمند استفاده کرده‌اند. یکی از این گروه‌ها که به «امارانث دراگون» شناخته می‌شود و ارتباط‌هایی با APT41 دارد از ابزارهای مشروع در کنار یک لودر سفارشی بهره برده تا بارهای رمزگذاری‌شده را از طریق سرورهایی که پشت Cloudflare پنهان هستند به سیستم‌های هدف منتقل کنند.
گزارش‌های دیگر نشان می‌دهد گروه روس‌محور روم‌کام (RomCom) که پیش‌تر در حمله به نهادهای نظامی اوکراین با استفاده از بدافزار NESTPACKER شناخته شده، همچنین از همین ضعف برای گسترش بدافزار استفاده کرده است. سایر گروه‌های تهدید شامل APT44، Turla، Carpathian و گروه‌های مرتبط با چین نیز از بدافزار POISONIVY در کمپین‌های خود بهره برده‌اند.
تحقیقات امنیتی نشان می‌دهد نشانه‌های اولیه سوءاستفاده از این ضعف به اواسط جولای 2025 باز می‌گردد و «امارانث دراگون» فعالیت‌های خود را از اوت همان سال آغاز کرده است. مهاجمان با استفاده از ویژگی Alternate Data Streams در فایل‌های آرشیو نسخه مخفی بدافزار را همراه با یک سند بی‌خطر ظاهری قرار می‌دهند به‌گونه‌ای که کاربر هنگام دیدن فایل اصلی در واقع بار مخرب را نیز فعال می‌کند.
متخصصان امنیتی تاکید کرده‌اند که اجتناب از بروزرسانی نسخه‌های آسیب‌پذیر WinRAR می‌تواند خطر را افزایش دهد و توصیه کرده‌اند کاربران و سازمان‌ها هرچه سریع‌تر برنامه را به نسخه 7.13 یا بالاتر ارتقا دهند تا از اجرای این نوع حملات جلوگیری شود.

درباره تیم تولید محتوا

تیم تولید محتوا

See author's posts