Google เตือนให้อัปเดต WinRAR ด่วน เนื่องพบช่องโหว่ร้ายแรงที่ถูกใช้งานอย่างหนักโดยเหล่าแฮกเกอร์

Google เตือนให้อัปเดต WinRAR ด่วน เนื่องพบช่องโหว่ร้ายแรงที่ถูกใช้งานอย่างหนักโดยเหล่าแฮกเกอร์

ซอฟต์แวร์สำหรับใช้ในการบีบอัดเพื่อย่อขนาดไฟล์ หรือ ให้ง่ายต่อการถ่ายโอน ผู้ใช้งานหลายรายอาจจะคุ้นเคยกับ WinRAR กันเป็นอย่างดีจากการที่เป็นซอฟต์แวร์ที่ใช้งานได้ฟรี แทบจะเป็นซอฟต์แวร์ที่มีทุกเครื่อง กระนั้นซอฟต์แวร์ตัวนี้ก็มักจะตกเป็นข่าวเรื่องช่องโหว่ความปลอดภัยอยู่บ่อย ๆ เช่นข่าวนี้

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของ Google Cloud ได้กล่าวถึงการที่ทางทีมวิจัย Google Threat Intelligence Group (GTIG) ซึ่งเป็นทีมวิจัยที่มุ่งเน้นการค้นคว้าด้านภัยไซเบอร์ ตรวจพบการใช้งานช่องโหว่ความปลอดภัยบนซอฟต์แวร์ WinRAR ที่มีรหัสว่า CVE-2025-8088 ซึ่งเป็นช่องโหว่ที่มีคะแนนความอันตราย CVSS Score ที่สูงถึง 8.4 ซึ่งช่องโหว่ความโดยกลุ่มแฮกเกอร์ทั่วโลกโดยเฉพาะแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน และรัสเซียในการปล่อยมัลแวร์ลงเครื่องของเหยื่อ

สำหรับช่องโหว่ตัวนี้จะเป็นช่องโหว่แบบ Path Traversal (เปลี่ยนเส้นทางเดินของไฟล์) ภายในตัว WinRAR ด้วยการใช้งานระบบ Alternate Data Streams (ADS) ซึ่งแฮกเกอร์นั้นจะใช้งานไฟล์บีบอัดสกุล RAR ที่มีการใส่สคริปท์ชี้นำให้ตัวไฟล์นั้นถูกคลายไปยังโฟลเดอร์ที่ถูกกำหนดไว้ซึ่งมักจะเป็นโฟลเดอร์ที่เกี่ยวกับการทำงานของระบบ (System) โดยในด้านการทำงานนั้นจะเริ่มจากการที่แฮกเกอร์ส่งไฟล์บีบอัดสกุล RAR ที่ภายในมีไฟล์เอกสารตัวล่อ (Decoy) เช่น เอกสารไฟล์สกุล PDF เป็นตัวล่อโดยที่ภายในไฟล์บีบอัดนั้นมีทั้งไฟล์ลวงที่ไม่ได้มีหน้าที่อะไร (Dummy) และไฟล์มัลแวร์ (Payload) ยัดรวมกันไว้อยู่ พร้อมกับสคริปท์ ADS ที่จะสั่งให้ WinRAR เวอร์ชันที่มีช่องโหว่ความปลอดภัย คลายไฟล์ไปยังโฟลเดอร์ที่ถูกกำหนดไว้ โดยมักจะเป็นโฟลเดอร์ด้านระบบที่สำคัญ เช่น Startup เป็นต้น

ซึ่งสคริปท์ในการใช้งานระบบ ADS เพื่อเปลี่ยนเป้าหมายในการคลายไฟล์นั้น มักจะเริ่มต้นด้วยการระบุชื่อไฟล์ที่ต้องการคลายไฟล์ไปยังโฟลเดอร์ที่กำหนด เช่น innocuous.pdf:malicious.lnk ร่วมกับการกำหนดปลายทาง เช่น

../../../../../Users//AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk

ซึ่งผลลัพท์นั้นก็จะนำไปสู่การคลายไฟล์ malicious.lnk ซึ่งเป็นไฟล์ของมัลแวร์ลงไปยังโฟลเดอร์ปลายทางที่ถูกกำหนดไว้ในท้ายที่สุด

ทางแหล่งข่าวยังได้ระบุไว้อีกว่า ที่ผ่านมานั้นได้มีแฮกเกอร์หลายกลุ่มจากทั่วโลกได้นำเอาช่องโหว่ดังกล่าวไปใช้ในการแพร่กระจายมัลแวร์หลากสายพันธุ์ เนื่องจากมีกรณีการแฮกด้วยวิธีนี้มากมาย จึงขอคัดมาโดยสังเขป ซึ่งกลุ่มแฮกเกอร์ที่มีการนำช่องโหว่ดังกล่าวไปใช้งานนั้นมีดังนี้

UNC4895 (CIGAR) จากรัสเซีย ใช้ช่องโหว่ดังกล่าวในการโจมตีเป้าหมายในประเทศยูเครน ด้วยการใช้อีเมลหลอกลวงแบบเจาะจงกลุ่มเป้าหมาย (Spearhead Phishing) เพื่อปล่อยมัลแวร์ NESTPACKER 

APT44 (FROZENBARENTS) ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีเป้าหมายในประเทศยูเครนเช่นเดียวกันเพื่อปล่อยไฟล์ .LNK ที่จะนำไปสู่การดาวน์โหลดมัลแวร์เพิ่มเติม

กลุ่มแฮกเกอร์จากจีนที่ไม่ถูกระบุชื่อ ใช้ในการปล่อยมัลแวร์ POISONIVY ผ่านไฟล์สกุล .Bat ที่ถูกวางลงในโฟลเดอร์ Startup จากการใช้ช่องโหว่นี้

กลุ่มแฮกเกอร์จากอินโดนีเซีย ใช้ช่องโหว่นี้ในการวางไฟล์ .CMD ลงในโฟลเดอร์ Startup ซึ่งจะนำไปสู่การดาวน์โหลดไฟล์บีบอัดสกุล RAR ที่ถูกปกป้องด้วยรหัสผ่าน (Password Protected) ลงมาจากบริการฝากไฟล์ Dropbox ซึ่งภายในมีมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor อยู่

กลุ่มแฮกเกอร์ในแถบละตินอเมริกา ใช้การส่งอีเมลจองโรงแรมปลอม เพื่อหลอกให้ดาวน์โหลดไฟล์มัลแวร์ ซึ่งจะนำไปสู่การติดตั้งมัลแวร์ประเภทเข้าควบคุมระบบจากระยะไกล หรือ RAT (Remote Access Trojan) เช่น XWorm และ AsyncRAT ลงระบบของเหยื่อ โดยจะมุ่งเน้นการโจมตีไปยังกลุ่มอุตสาหกรรมการท่องเที่ยวและการบริการ (Hospitality) โดยเฉพาะ

นอกนั้นช่องโหว่ดังกล่าวยังถูกนำไปใช้โฆษณาโดยกลุ่มแฮกเกอร์ใต้ดิน "zeroplayer" ตามตลาดมืดของแฮกเกอร์เพื่อขายเครื่องมือสำหรับใช้งานช่องโหว่ (Exploit) อีกด้วย