«Не відкривайте жодних архівів RAR»: архіватор WinRAR знову використовують для атак на українських користувачів

Компанія Google попередила, що широко відома вразливість архіватора файлів WinRAR для Windows, яку раніше вже виправляли, знову використовується хакерами, які пов’язані з Росією та Китаєм. Про це пише The Hacker News.

Йдеться про критичну вразливість CVE-2025-8088, яку виявили ​​в липні 2025 року. Після розголосу компанія Rarlab, яка є розробником WinRAR, усунула баг, випустивши 30 липня оновлення 7.13.

Google стверджує, що хакери, які пов’язані з російською владою, використовують вразливість для поширення шкідливого ПЗ Poisonivy за допомогою BAT-файлу, поміщеного в папку запуску, з якої потім завантажується програма-дропер.

За даними Групи розвідки загроз Google (GTIG), існує кілька груп російських кіберзлочинців, які використовують WinRAR проти українських користувачів:

• Sandworm (або APT44 та FROZENBARENTS) — використовує вразливість для розповсюдження файлу-приманки з українською назвою та шкідливого LNK-файлу, який намагається здійснити подальші завантаження.
• Gamaredon (або CARPATHIAN) — атакує українські державні установи шкідливими RAR-архівами, що містять файли HTML-додатків (HTA), які виконують роль завантажувача другого етапу.
• Turla (також відома як SUMMIT) — скористалася багом WinRAR для поширення пакету шкідливих програм STOCKSTAY за допомогою приманок, пов’язаних з діяльністю українських військових та операціями безпілотників.
  

Google рекомендує всім, хто використовує WinRAR, оновити цю програму до останньої версії 7.13. Крім того, фахівці радять взагалі не відкривати жодних архівів RAR, незалежно від їхнього походження.

Нагадаємо, що днями фахівці ФБР США отримали контроль та закрили сумнозвісний форум російських кіберзлочинців RAMP.