פרצת אבטחה בתוכנת הארכיון WinRAR שתוקנה לאחרונה, נוצלה כמתקפות דיוג של יום אפס כדי להתקין נוזקה של קבוצת פשיעת הסייבר RomCom. פרצת אבטחה שהתגלתה הינה פגיעות של חציית ספריות אשר תוקנה ב- WinRAR 7.13, המאפשרת לארכיונים שנוצרו לחלץ קבצים לנתיב קובץ שנבחר על ידי פושעי הסייבר. ביומן השינויים של WinRAR 7.13 נכתב: "בעת חילוץ קובץ, ניתן להונות גרסאות קודמות של WinRAR, גרסאות Windows של RAR, UnRAR, קוד מקור נייד של UnRAR ו- UnRAR.dll באמצעות נתיב המוגדר בארכיון שנוצר במיוחד, במקום נתיב שצוין על ידי המשתמש. גרסאות יוניקס של RAR, UnRAR, קוד מקור נייד של UnRAR וספריית UnRAR וגם כ- RAR לאנדרואיד, אינן מושפעות."
באמצעות פגיעות אבטחה זו, יכולים פושעי סייבר ליצור ארכיונים המחלצים קבצי הרצה לתוך נתיבי הפעלה אוטומטית, כגון תיקיית ההפעלה של Windows הממוקמת בכתובת:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (מקומי למשתמש)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (בכל המכונה)
בפעם הבאה שהמשתמש יתחבר, יופעל קובץ ההפעלה אוטומטית, מה שיאפשר לפושעי הסייבר להפעיל קוד מרחוק.
הפגם התגלה על ידי אנטון צ'רפנוב, פיטר קושינאר ופיטר סטרייצ'ק מחברת ESET, כאשר סטרייצ'ק אמר לאתר BleepingComputer שהוא נוצל באופן פעיל במתקפות דיוג כדי להתקין נוזקות: "ESET הבחינה בהודעות דוא"ל דיוג חנית אשר כוללות קבצים מצורפים המכילים קבצי RAR. ארכיונים אלו ניצלו את פרצת האבטחה כדי ליצור דלתות אחוריות עבור RomCom – קבוצת פושעי סייבר רוסית (הנקראת גם Storm-0978, Tropical Scorpius או UNC2596) המקושרת למתקפות כופרה וסחיטה של מידע גנוב, יחד עם מתקפות סייבר המתמקדות בגניבת אישורי גישה למערכות מחשוב. הקבוצה ידועה בשימושה בפגיעויות יום-אפס במתקפות סייבר ובשימוש בנוזקות מותאמות אישית במתקפות גניבת מידע, התבססות במערכות מחשוב ופעולה בדלתות אחוריות.
מכיוון ש- WinRAR אינה כוללת תכונת עדכון אוטומטי, מומלץ מאד לכל המשתמשים להוריד ולהתקין ידנית את הגרסה העדכנית ביותר מאתר win-rar.com כדי שיהיו מוגנים מפני פגיעות אבטחה זו.
