דוח חמור שפרסמה היום (שלישי) קבוצת מודיעין האיומים של גוגל (Google Threat Intelligence) חושף תמונת מצב מדאיגה.
חולשת אבטחה קריטית בתוכנת הכיווץ הפופולרית WinRAR מנוצלת באופן נרחב על ידי האקרים בחסות מדינות וארגוני פשיעה.
למרות שהפרצה (המוכרת כ-CVE-2025-8088) תוקנה עוד ביולי 2025, תוקפים ממשיכים לנצל את העובדה שמשתמשים רבים לא מעדכנים את התוכנה, והם משתמשים בה כדי להחדיר נוזקות הרסניות למחשבים ברחבי העולם.
השיטה המתוחכמת: איך קובץ תמים הופך למלכודת?
החולשה מבוססת על מניפולציה טכנית מבריקה ומסוכנת המכונה "Path Traversal" בשילוב עם תכונת ה-Alternate Data Streams (ADS) של מערכת ההפעלה Windows.
- הפיתיון: ההאקרים שולחים קבצי RAR המכילים לכאורה מסמכים תמימים כמו קבצי PDF או תמונות.
- המלכודת: כאשר המשתמש פותח את הקובץ התמים, התוכנה מבצעת בחשאי כתיבה של קובץ זדוני לתיקיית ה-Startup (הפעלה אוטומטית) של המחשב.
- התוצאה: בפעם הבאה שהמשתמש יפעיל מחדש את המחשב או יתחבר למערכת, הנוזקה תופעל אוטומטית ותעניק להאקרים שליטה מלאה, מבלי שהמשתמש חשד בדבר.
ציר הרשע: מי עומד מאחורי המתקפות?
הדוח של גוגל מצביע על כך שהחולשה הפכה ל"להיט" בקרב מגוון רחב של תוקפים מסוכנים:
- רוסיה: קבוצות תקיפה ידועות כמו APT44 (המזוהה גם כ-FROZENBARENTS) ו-Turla משתמשות בפרצה כדי לתקוף יעדים צבאיים וממשלתיים באוקראינה, תוך שימוש במסמכים מזויפים הקשורים למלחמה.
- סין: האקרים בחסות המשטר הסיני מנצלים את הפרצה להפצת הנוזקה הוותיקה POISONIVY.
- פשיעה פיננסית: ארגוני פשיעה משתמשים בשיטה כדי לגנוב פרטי בנקאות וסיסמאות ממשתמשים רגילים, בין היתר באמצעות פישינג המתחזה להזמנות מלון או מסמכים בנקאיים.
שוק שחור של כלי תקיפה
המחקר חושף גם את "הכלכלה שמאחורי הקלעים". ספקי אקספלויטים (Exploits) בשוק השחור, כמו המוכר המכונה "zeroplayer", מציעים את הקוד לניצול החולשה הזו לצד פרצות יום-אפס (Zero-Day) יוקרתיות אחרות שמחירן מגיע למאות אלפי דולרים. הזמינות של כלי התקיפה הללו מאפשרת גם להאקרים פחות מתוחכמים לבצע מתקפות ברמה מדינתית.
מה עליכם לעשות כדי להתגונן?
הפתרון פשוט, אך קריטי: עדכנו את WinRAR מיד. החברה המפתחת, RARLAB, שחררה תיקון לפרצה כבר בגרסה 7.13 ביולי 2025. אם אתם משתמשים בגרסה ישנה יותר, אתם חשופים. כמו כן, מומלץ תמיד להשתמש בפתרונות סינון דואר (כמו Gmail) ובכלי אבטחה המזהים קבצים חשודים לפני פתיחתם.
