Sıfır gün olarak kullanıldı
ESET, 18 Temmuz 2025’te RomCom grubunun WinRAR’daki belirsiz bir yol geçişi açığını istismar ettiğini tespit etti. Açık, alternatif veri akışlarının (ADS) kullanımıyla kötüye kullanılabiliyor ve CVE-2025-8088 olarak kaydedildi.
Zararlı dosyalar Startup klasörüne düşüyor
Hazırlanan RAR arşivlerinde sahte yollarla doldurulmuş çok sayıda ADS girdisi bulunuyor. Bunlar, zararlı DLL, EXE ve LNK dosyalarının arşiv açıldığında %TEMP% ve %LOCALAPPDATA% klasörlerine, kısayolların ise Windows Başlangıç klasörüne yerleştirilmesini sağlıyor.
Üç farklı saldırı zinciri
ESET, saldırılarda kullanılan üç ayrı enfeksiyon zinciri tespit etti:
-
Mythic Agent: COM hijacking yoluyla AES şifreli shellcode çalıştırıyor, yalnızca belirli etki alanlarında aktif oluyor.
-
SnipBot: Sahte bir PuTTY türeviyle yükleniyor, açılan belgeleri kontrol ederek ek zararlı indiriyor.
-
MeltingClaw: RustyClaw üzerinden DLL indirip daha fazla modül çalıştırıyor.
Ek aktörler de açığı kullandı
Bi.Zone, CVE-2025-8088’in yanı sıra CVE-2025-6218 açığını da istismar eden “Paper Werewolf” adını verdiği farklı bir saldırı kümesini raporladı.
Güncelleme manuel yapılmalı
RARLab, açığın kapatıldığı 7.13 sürümünü 30 Temmuz’da yayımladı. Ancak WinRAR otomatik güncelleme özelliği içermediği için kullanıcıların en son sürümü manuel olarak indirip kurmaları gerekiyor.
Risk neden yüksek
Windows 2023’te RAR desteği eklese de kapsamı sınırlı. Kurumsal kullanıcılar ve ileri seviye bireysel kullanıcılar hâlen WinRAR’a bağımlı, bu da yazılımı saldırganlar için cazip hale getiriyor.
Kaynak: CUMHA – CUMHUR HABER AJANSI
