Google เตือนภัย WinRAR ถูกแฮกเกอร์นำไปใช้โจมตีอย่างหนัก ต้องอัปเดตด่วน
กลุ่ม Google Threat Intelligence Group (GTIG) ได้ออกคำเตือนทั่วโลกเมื่อวันที่ 27 ระบุว่า เมื่อปีที่แล้วพบช่องโหว่ความร้ายแรงใน WinRAR (CVE-2025-8088) แม้ว่า WinRAR เวอร์ชัน 7.13 จะออกแพตช์แก้ไขไปแล้ว แต่ผู้ใช้ส่วนใหญ่ยังไม่ได้อัปเดต ทำให้ขณะนี้มีการพบว่ากลุ่มแฮกเกอร์หลายกลุ่มทั่วโลกกำลังใช้ช่องโหว่นี้โจมตีอย่างหนัก และมีผู้ตกเป็นเหยื่อจำนวนมากแล้ว
ตามข้อมูลจาก Google ช่องโหว่นี้ส่งผลกับ WinRAR เวอร์ชัน 7.12 หรือเก่ากว่า โดยมีรหัสช่องโหว่ CVE-2025-8088 ผู้โจมตีสามารถทำให้ WinRAR เขียนไฟล์ผิดพลาดไปยังไดเรกทอรีของระบบระหว่างการแตกไฟล์ ส่งผลให้สามารถรันโค้ดอันตรายและยึดควบคุมระบบได้ ช่องโหว่นี้มีคะแนนความรุนแรง CVSS อยู่ที่ 8.4/10 จัดอยู่ในระดับความเสี่ยงสูง
แฮกเกอร์มักใช้ช่องโหว่นี้เพื่อติดตั้งมัลแวร์ตระกูล RomCom โดยอาศัยกลไกหลักคือการโจมตีแบบ Path Traversal ผ่านคุณสมบัติ “Alternate Data Streams (ADS)” ของ Windows มักซ่อนโค้ดอันตรายไว้ใน ADS ของไฟล์ล่อ เช่น ไฟล์ PDF ภายในไฟล์บีบอัด เมื่อผู้ใช้เปิดดูไฟล์ล่อ WinRAR จะทำงานเบื้องหลังและแตกไฟล์เพย์โหลดอันตราย (เช่น LNK, HTA, BAT หรือไฟล์สคริปต์) ไปยังตำแหน่งใดก็ได้ในระบบ
เป้าหมายที่แฮกเกอร์เลือกใช้บ่อยที่สุดคือโฟลเดอร์ Startup ของ Windows เพื่อให้สคริปต์อันตรายถูกรันทันทีที่ผู้ใช้ล็อกอินครั้งถัดไป ส่งผลให้การโจมตีฝังตัวอยู่ในระบบได้อย่างถาวร
Google ระบุว่า มีหลายกลุ่มแฮกเกอร์ที่กำลังใช้ช่องโหว่นี้อย่างจริงจัง เช่น กลุ่ม UNC4895 (RomCom) ที่ใช้การโจมตีแบบฟิชชิ่งเจาะจงเป้าหมาย (Spear Phishing) เพื่อปล่อยมัลแวร์ Snipbot ขณะที่ APT44 และ Turla ใช้ไฟล์ล่อเพื่อกระจายตัวดาวน์โหลดและชุดมัลแวร์เพิ่มเติม
สถานการณ์นี้คล้ายกับกรณีช่องโหว่ WinRAR ในปี 2023 (CVE-2023-38831) ที่ถูกนำไปใช้โจมตีอย่างแพร่หลาย สะท้อนให้เห็นว่า แม้จะมีแพตช์แก้ไขและสื่อรายงานอย่างต่อเนื่อง แต่ผู้ใช้ WinRAR จำนวนมากก็ยังไม่อัปเดตซอฟต์แวร์ บางคนไม่รู้ บางคนรู้แต่ไม่ทำ
ทีมพัฒนา WinRAR จึงขอเรียกร้องให้ผู้ใช้ทุกคนอัปเดตเป็น WinRAR เวอร์ชัน 7.13 โดยเร็วที่สุด เนื่องจาก WinRAR ไม่มีระบบอัปเดตอัตโนมัติ ผู้ใช้จำนวนมากอาจยังคงใช้เวอร์ชันเก่าที่มีความเสี่ยงอยู่ ขอให้ช่วยกันบอกต่อเพื่อนหรือคนใกล้ตัวให้รีบอัปเดตเพื่อความปลอดภัยของระบบ
ที่มา: HKEPC
