مهاجمان، در جریان حملات فیشینگ خود، با سوءاستفاده از یک آسیبپذیری در WinRAR، اقدام به نصب بدافزار RomCom بر روی ماشین قربانی میکنند.
آسیبپذیری مذکور، با شناسه CVE-2025-8088، ضعفی از نوع Directory Traversal است که در نسخه 7.13 نرمافزار WinRAR برطرف شده است.
این آسیبپذیری به مهاجم اجازه میدهد با استفاده از فایلهای به اصطلاح Archive دستکاریشده، فایلها را در مسیر دلخواه خود (بهجای مسیر تعیینشده توسط کاربر) باز (Extract) کند.
با اکسپلویت CVE-2025-8088، مهاجمان میتوانند آرشیوهایی بسازند که فایلهای اجرایی را در مسیرهای موسوم به اجرای خودکار (Autorun)، نظیر پوشه Startup باز کنند. به این ترتیب، دفعه بعد که کاربر وارد سیستم شود، فایل باز شده در آن پوشه بهطور خودکار اجرا شود.
شرکت ایست (ESET) اعلام کرده که حداقل یک گروه از مهاجمان با سوءاستفاده از CVE-2025-8088 در حال انتشار RomCom که بدافزاری از نوع دربپشتی (Backdoor) است میباشند.
از آنجا که WinRAR فاقد قابلیت بهروزرسانی خودکار است، اکیداً توصیه میشود که کاربران نسخه جدید را بهصورت دستی از سایت win-rar.com دانلود و نصب کنند تا در برابر این آسیبپذیری ایمن باشند.