Advisory

RomCom Malware Eksploitasi Kerentanan WinRAR Zero-Day

August 19, 2025

 

Deskripsi

1

 

     
 

Kerentanan zero-day WinRAR (CVE-2025-8088) aktif dieksploitasi dalam serangan email phishing untuk memasang malware oleh kelompok hacker RomCom melalui teknik directory path traversal yang memungkinkan file diekstrak ke folder startup autorun. Kerentanan ini telah diperbaiki di WinRAR versi 7.13, namun pengguna harus melakukan update patch secara manual karena tidak terdapat fitur auto-update. Peneliti dari BI.Zone juga melaporkan bahwa kerentanan ini juga dieksploitasi oleh kelompok hacker lain yaitu Paper Werewolf.

  
     

 

Metode Serangan

2

 

     
 
  1. File RAR yang tampak hanya berisi satu file normal, seperti CV atau dokumen lamaran, dilampirkan pada attachment phishing emailNamun ternyata terdapat data berbahaya yang disembunyikan dalam Alternate Data Streams (ADS) yang tidak terlihat oleh pengguna.
  2. Kemudian saat file RAR tersebut diekstrak
    a) File DLL berbahaya disimpan di  %TEMP% atau %LOCALAPPDATA%.
    b) File shortcut .lnk buatan dimasukkan ke folder startup autorunsehingga payload akan aktif saat booting.
  3. Serangan menggunakan teknik directory path traversal (..) untuk menyisipkan file ke direktori tak terduga.
  4. Peneliti dari ESET mengidentifikasi terdapat tiga rantai eksekusi yang berbeda dalam campaign eksploitasi CVE-2025-8088, yaitu
    a) Mythic Agent via COM Hijacking
    b) SnipBot Variant with Anti-Analysis
    c) RustyClaw and MeltingClaw Downloaders
  
     

 

Indicator of Compromise (IoC)

3

 

     
 
  1. Command & Control (C2) Infrastructure
    1. 162.19.175[.]44 – gohazeldale[.]com – MeltingClaw C2 
    2. 194.36.209[.]127 – srlaptop[.]com – Mythic agent C2
    3. 85.158.108[.]62 – melamorri[.]com – RustyClaw C2
    4. 185.173.235[.]134 – campanole[.]com  – SnipBot C2
  2. Informasi mengenai detail IoC lainnya dapat dilihat lebih detail pada referensi poin 3
  
     

 

Versi Terdampak

4

 

Produk yang Terdampak Versi yang terdampak Versi yang sudah diperbaiki
WinRAR ≤ 7.12 7.13

 

Rekomendasi

5

 

     
 
  1. Dikarenakan WinRAR tidak memiliki fitur auto-update, maka segera lakukan update patch ke versi 7.13 atau terbaru.
  2. Selalu waspada terhadap email yang mencurigakan, dan lakukan pengecekan kembali sebelum membuka attachment email.
  3. Atur agar ekstraksi file RAR hanya dilakukan ke folder yang aman (user-writable) dan pastikan untuk selalu mengaktifkan antivirus.
  4. Lakukan blocking IP & domain berdasarkan data IoC.
  
     

 

 

 

Referensi:

1. https://socradar.io/cve-2025-8088-winrar-zero-day-exploited-targeted/
2. https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/
3. https://csirt.telkom.co.id/IOCWinRAR-CVE-2025-8088.txt

Categories

Categories

Advisory
Awareness

Recent posts

Recent posts