Аналитики кибербезопасности из CYFIRMA обнаружили новую многоступенчатую кампанию по распространению вредоносного программного обеспечения. Злоумышленники используют недавно выявленную уязвимость в популярном архиваторе WinRAR для скрытной установки удаленного трояна доступа (RAT) на компьютеры под управлением Windows. Атака отличается минимальным взаимодействием с жертвой и практически полным отсутствием следов на диске.
Описание
Уязвимость, получившая идентификатор CVE-2025-8088, заключается в недостаточной проверке путей к файлам, встроенных в метаданные RAR-архива. В результате специально созданный архив может записывать файлы за пределы выбранной пользователем папки для распаковки. В данной кампании эта ошибка используется для размещения вредоносного сценария прямо в папке автозагрузки Windows.
Атака начинается с того, что пользователь получает архив, замаскированный под легитимный пакет инструментов для открытых источников разведданных (OSINT). При просмотре содержимого в WinRAR отображается лишь безобидный текстовый файл со списком таких инструментов. Однако при попытке извлечения содержимого срабатывает уязвимость, и вредоносный пакетный файл (Batch script) тихо записывается в системную директорию автозапуска. Этот механизм гарантирует автоматическое выполнение скрипта при следующем входе пользователя в систему, не требуя прав администратора.
После запуска обфусцированный скрипт выполняет ряд действий. Прежде всего, он создает скрытую директорию для собственного копирования и добавляет запись в реестр для обеспечения постоянства. Затем для обхода системных предупреждений безопасности скрипт удаляет так называемую "метку из интернета" (Mark-of-the-Web) с файла. Основная же его задача - извлечь и запустить встроенный загрузчик PowerShell.
Этот загрузчик, работающий в скрытом окне, расшифровывает и внедряет шелл-код, сгенерированный фреймворком Donut, в легитимный системный процесс, чаще всего explorer.exe. Если этот процесс завершается, в качестве резервной цели используется svchost.exe. Внедренный шелл-код инициирует в памяти среду выполнения .NET (CLR) и исполняет финальную вредоносную нагрузку (payload), полностью обходя запись на диск.
Финальным этапом атаки становится выполнение трояна удаленного доступа Quasar RAT. Это открытое программное обеспечение, которое злоумышленники адаптировали для шпионских целей. Троянец предоставляет полный контроль над системой, включая выполнение команд, манипуляцию файлами, кейлоггинг и наблюдение за действиями пользователя. Во время динамического анализа было зафиксировано установление связи с командным сервером по IP-адресу 91.92.243.10 через порт 4783.
Данная кампания наглядно демонстрирует современные тенденции в киберугрозах. Злоумышленники все чаще делают ставку не на сложные эксплойты, а на эксплуатацию уязвимостей в доверенном программном обеспечении и рутинных действиях пользователей. Использование техник безфайлового выполнения и внедрения в легитимные процессы значительно усложняет обнаружение классическими сигнатурными методами защиты. Эксперты подчеркивают критическую важность своевременного обновления программного обеспечения, включая такие утилиты как архиваторы, а также внедрения систем поведенческого анализа и мониторинга памяти для противодействия подобным скрытым угрозам.
Индикаторы компрометации
IPv4
- 91.92.243.10
SHA256
- 198f2767f04680098a037ac03c089e3d400dc63e7d276b36eebbebed4e85e067
- 4b82f29b17b977a42f08d4f47a505740a31be273ecd76f9655643ed5ce44bb86
- bf12a13ed0fac0de3dba45f65f14e67b0b62a30cde88ae18785328c8b34b5995
- d722f6b162a8cc49867856f94961ed7827ba4975a20632f6cdc6eba1096e3263
