Angriffe auf WinRAR-Lücke laufen weiter

close notice

This article is also available in English. It was translated with technical assistance and editorially reviewed before publication.

Don’t show this again.

Eine Sicherheitslücke in WinRAR ist seit August vergangenen Jahres bekannt, sie wurde dort auch rasch von Kriminellen attackiert. Obwohl ein Update zum Schließen der Schwachstelle bereitsteht, beobachtet Googles Threat Intelligence Group bis heute Angriffe darauf – von mehreren Tätergruppen.

„Von Regierungen unterstützte bösartige Akteure mit Verbindungen zu Russland und China sowie finanziell motivierte Gruppierungen nutzen diese n-Day-Sicherheitslücke weiterhin für unterschiedliche Operationen aus“, erklärt Google in einer aktuellen Analyse. „Die Missbrauchsmethode, eine Path-Traversal-Schwachstelle, die ermöglicht, Dateien in den Windows-Startordner abzulegen und dadurch Persistenz zu erreichen, unterstreicht eine Lücke in der grundlegenden Anwendungssicherheit und im Bewusstsein der Benutzer.“

Missbrauch von alter WinRAR-Lücke

Die in WinRAR 7.13 von Ende Juli 2025 geschlossene Sicherheitslücke (CVE-2025-8088, CVSS 8.4, Risiko „hoch“) nutzen die Angreifer oftmals mit manipulierten Archiven aus, die die schädliche Nutzlast in Alternative Data Streams (ADS) verstecken, wie Googles IT-Forscher erörtern. Opfer erhalten typischerweise eine PDF-Datei im Archiv angezeigt. Dabei sind bösartige ADS-Einträge enthalten, von denen einige Malware und andere einfach nur Dummy-Daten enthalten. Die Malware wird durch einen Path-Traversal in ein kritisches Verzeichnis geschrieben; oftmals zielen die Täter auf den Windows-Start-Ordner zum Einnisten ab. Die ADS-Funktion nutzen sie dabei zusammen mit der Path Traversal, als Beispiel nennt Google den zusammengestellten Namen aus „innocuous.pdf:malicious.lnk“ und dem Pfad „../../../../../Users/<user>/AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk“. Beim Öffnen des Archivs extrahiert WinRAR den ADS-Inhalt in den angegebenen Pfad. Beim nächsten User-Log-in wird die Malware dann automatisch gestartet.

Gleich mehrere staatliche Akteure haben die Lücke für Spionagetätigkeiten missbraucht. Einige Gruppen ordnet Google dabei dem russischen Umfeld zu, die damit das ukrainische Militär und Regierungseinrichtungen angegriffen haben. Andere wie UNC4895, auch als RomCom bekannt, verfolgen demnach finanzielle und Spionage-Ziele, die ebenfalls auf ukrainische Militäreinheiten abzielten. APT44, Spitzname FrozenBarents, verortet Google in Russland; TEMP.Armageddon (Carpathian) hat es auf ukrainische Regierungseinrichtungen abgesehen. Turla (Summit) lockte die Opfer mit Themen rund um ukrainische Militäraktivitäten und Drohneneinsätze.

Aber auch eine China zugeordnete Gruppe hat Google beobachtet, die durch die Schwachstelle die PoisonIvy-Malware mittels .bat-Dateien verteilt hat, die ihrerseits einen Trojan-Dropper nachgeladen hat. Dem gesellen sich rein finanziell ausgerichtete Cybergangs hinzu. Eine zielte auf Einrichtungen in Indonesien. Eine weitere nahm die Reise- und Tourismusbranche, insbesondere in Lateinamerika, ins Visier. Auf Brasilianer hat es eine weitere Gruppierung abgesehen und bösartige Chrome-Erweiterungen ausgeliefert, die von zwei Banken Zugangsdaten erbeutet haben.

Auf den Zug sind auch Gruppen aufgesprungen, die auf Anfrage Exploits erstellen und verkaufen (Malware as a Service), etwa eine Bande namens „zeroplayer“. Die haben jedoch in der Regel gleich mehrere Exploits im Gepäck. Durch solche Angebote verlängert sich laut Google die Zeit mit aktiven Angriffen auf Schwachstellen.

Wer WinRAR einsetzt, sollte die Software auf den jüngsten Stand bringen. Google führt in der Analyse eine längere Liste an Hinweisen auf eine Infektion (Indicators of Compromise, IOCs) auf, anhand welcher Interessierte prüfen können, ob sie möglicherweise Opfer eines Angriffs geworden sind.

(dmk)