WinRAR’da sıfır gün açığı: RomCom grubu sahte e-postalarla zararlı yazılım yükledi
CVE-2025-8088 olarak takip edilen ve WinRAR 7.13 sürümüyle giderilen güvenlik açığı, saldırganların özel hazırlanmış arşivlerle dosyaları kullanıcı seçimi dışında dizinlere çıkarmasına imkân tanıyor. Açığın sıfır gün olarak kullanıldığı saldırılarda RomCom grubu, kimlik avı e-postalarıyla dağıttığı RAR dosyaları üzerinden sistemlere arka kapı yerleştirdi.
Dizin geçişi açığı tespit edildi
ESET araştırmacıları Anton Cherepanov, Peter Košinár ve Peter Strýček tarafından keşfedilen CVE-2025-8088 açığı, WinRAR’ın önceki sürümlerinde dosya çıkartma sırasında saldırgan tarafından belirlenen bir yola yönlendirme yapılmasına imkân veriyor.
Windows başlangıç klasörüne kötü amaçlı dosya
Bu yöntemle saldırganlar, zararlı yürütülebilir dosyaları Windows Başlangıç klasörlerine yerleştirebiliyor. Kullanıcı oturum açtığında dosya otomatik çalışıyor ve uzaktan kod yürütme sağlanıyor.
Phishing kampanyalarında kullanıldı
ESET, RomCom grubunun hedefli kimlik avı e-postaları aracılığıyla gönderilen RAR eklerinde bu açığı kullandığını belirledi. Bu saldırılarla kurban sistemlere RomCom arka kapıları yüklendi.
RomCom’un geçmiş faaliyetleri
Rusya bağlantılı RomCom grubu (Storm-0978, Tropical Scorpius veya UNC2596 olarak da biliniyor), daha önce Cuba ve Industrial Spy fidye yazılımlarıyla ilişkilendirilmişti. Grup, kimlik bilgisi hırsızlığı ve veri gaspı odaklı saldırılarda sıfır gün açıklarını sıkça kullanıyor.
Kullanıcılara güncelleme uyarısı
Uzmanlar, WinRAR’ın otomatik güncelleme özelliği bulunmadığı için tüm kullanıcıların 7.13 sürümünü manuel olarak indirip yüklemesi gerektiğini vurguluyor.
Kaynak: CUMHA - CUMHUR HABER AJANSI
