Đây là cách bọn tin tặc khai thác lỗ hổng của WinRAR để cài mã độc
 

WinRAR vừa cho phát hành ra bản cập nhật khẩn cấp để xử lý lỗ hổng bảo mật zero-day CVE-2025-8088 (điểm CVSS: 8,8) đang bị bọn tin tặc khai thác tích cực. Đây là lỗi giúp kẻ xấu xâm nhập vào đường dẫn, cho phép tin tặc tân công để bỏ vô mã độc tùy ý thông qua các tập tin lưu trữ độc hại.

Theo WinRAR, các phiên bản cũ của WinRAR, RAR cho Windows, UnRAR, mã nguồn UnRAR di động và UnRAR.dll có thể bị lợi dụng để giải nén tập tin đến đường dẫn trái phép thay vì thư mục chỉ định. Lỗ hổng này đã được phát hiện ra và thông báo từ Anton Cherepanov, Peter Kosinar và Peter Strycek (ESET), và nay đã có bản vá trong WinRAR 7.13 cho phát hành ra vào ngày 31/7/2025.

Cách thức khai thác và bọn tin tắc có liên quan​
Dù chưa nắm rõ chi tiết các cuộc tấn công trên thực tế, nhưng BI.ZONE cho biết nhóm tin tặc Paper Werewolf (GOFFEE) có thể đã cho kết hợp CVE-2025-8088 với CVE-2025-6218 (lỗi duyệt thư mục đã cho vá tháng 6/2025) để phát tán mã độc qua email lừa đảo. Trước đó, một tin tặc có bí danh "zeroplayer" đã đem rao bán lỗ hổng zero-day WinRAR trên diễn đàn darkweb nói tiếng Nga với giá 80,000 USD.

(Minh họa)

Cách khai thác bao gồm: tạo ra tập tin .RAR chứa luồng số liệu thay thế (ADS) với tên chứa đường dẫn tương đối, cho phép ghi số liệu tùy ý ra ngoài thư mục đích, ví dụ như thư mục cho Khởi động Windows, từ đó mã độc sẽ hoạt động ngay sau khi hệ thống được khởi động. BI.ZONE đã ghi nhận các cuộc tấn công nhằm vào nhiều tổ chức tại Nga trong tháng 7/2025.

Ngoài nhóm Paper Werewolf, nhóm RomCom (có liên kết với Nga) cũng bị công ty bảo mật ESET phát hiện đang cho khai thác CVE-2025-8088 dưới dạng zero-day. Chiêu trò này đang nhắm vào các công ty tài chính, sản xuất, quân sự và tiếp liệu hậu cần ở châu Âu, Canada, sử dụng mồi nhử như hồ sơ xin việc để dẫn dụ nạn nhân mở ra tập tin đính kèm. Khi nạn nhân cho giải nén, mã độc sẽ thực thi .DLL, thiết lập LNK trong thư mục khởi động để duy trì, cài backdoor như SnipBot, RustyClaw, Mythic, hoặc trình tải MeltingClaw để cho phát tán thêm phần mềm độc hại.

Lỗ hổng 7-Zip cũng được vá​ xong và cho cập nhật
Thông tin trên xuất hiện ngay sau khi 7-Zip cho vá lỗi CVE-2025-55188 (điểm CVSS: 2,7), lỗ hổng cho phép ghi đè tập tin tùy ý thông qua sự liên kết tượng trưng khi cho giải nén. Lỗi này có ảnh hưởng chủ yếu đến hệ thống Unix, nhưng có thể khai thác trên Windows nếu chạy với quyền quản trị viên hoặc bật lên Chế độ phát triển.

Khuyến cáo: Người tiêu dùng nên cho cập nhật ngay ứng dụng WinRAR lên phiên bản 7.13 hoặc mới hơn, và 7-Zip lên phiên bản 25.01 để tránh nguy cơ bị xâm nhập trái phép để gây hại.

Đọc thêm chi tiết tại đây:
- https://thehackernews.com/2025/08/wi...er-active.html

Nếu không thích xài WINRAR vì có chứa mã độc hại, có thể chuyển qua sử dụng thằng này miễn phí và cho giải nén được khá nhiều file khác nhau như 7Z, ARC, BZ2, GZ, PAQ / ZPAQ, PEA, QUAD / BALZ, TAR, UPX và ZIP: PeaZip v.10.6.1 (vô Goodle Search và đánh tên ứng dụng này)