Google เตือนให้อัปเดต WinRAR ด่วน เนื่องพบช่องโหว่ร้ายแรงที่ถูกใช้งานอย่างหนักโดยเหล่าแฮกเกอร์

ซอฟต์แวร์สำหรับใช้ในการบีบอัดเพื่อย่อขนาดไฟล์ หรือ ให้ง่ายต่อการถ่ายโอน ผู้ใช้งานหลายรายอาจจะคุ้นเคยกับ WinRAR กันเป็นอย่างดีจากการที่เป็นซอฟต์แวร์ที่ใช้งานได้ฟรี แทบจะเป็นซอฟต์แวร์ที่มีทุกเครื่อง กระนั้นซอฟต์แวร์ตัวนี้ก็มักจะตกเป็นข่าวเรื่องช่องโหว่ความปลอดภัยอยู่บ่อย ๆ เช่นข่าวนี้

จากรายงานโดยเว็บไซต์อย่างเป็นทางการของ Google Cloud ได้กล่าวถึงการที่ทางทีมวิจัย Google Threat Intelligence Group (GTIG) ซึ่งเป็นทีมวิจัยที่มุ่งเน้นการค้นคว้าด้านภัยไซเบอร์ ตรวจพบการใช้งานช่องโหว่ความปลอดภัยบนซอฟต์แวร์ WinRAR ที่มีรหัสว่า CVE-2025-8088 ซึ่งเป็นช่องโหว่ที่มีคะแนนความอันตราย CVSS Score ที่สูงถึง 8.4 ซึ่งช่องโหว่ความโดยกลุ่มแฮกเกอร์ทั่วโลกโดยเฉพาะแฮกเกอร์ที่ได้รับการสนับสนุนจากรัฐบาลจีน และรัสเซียในการปล่อยมัลแวร์ลงเครื่องของเหยื่อ

สำหรับช่องโหว่ตัวนี้จะเป็นช่องโหว่แบบ Path Traversal (เปลี่ยนเส้นทางเดินของไฟล์) ภายในตัว WinRAR ด้วยการใช้งานระบบ Alternate Data Streams (ADS) ซึ่งแฮกเกอร์นั้นจะใช้งานไฟล์บีบอัดสกุล RAR ที่มีการใส่สคริปท์ชี้นำให้ตัวไฟล์นั้นถูกคลายไปยังโฟลเดอร์ที่ถูกกำหนดไว้ซึ่งมักจะเป็นโฟลเดอร์ที่เกี่ยวกับการทำงานของระบบ (System) โดยในด้านการทำงานนั้นจะเริ่มจากการที่แฮกเกอร์ส่งไฟล์บีบอัดสกุล RAR ที่ภายในมีไฟล์เอกสารตัวล่อ (Decoy) เช่น เอกสารไฟล์สกุล PDF เป็นตัวล่อโดยที่ภายในไฟล์บีบอัดนั้นมีทั้งไฟล์ลวงที่ไม่ได้มีหน้าที่อะไร (Dummy) และไฟล์มัลแวร์ (Payload) ยัดรวมกันไว้อยู่ พร้อมกับสคริปท์ ADS ที่จะสั่งให้ WinRAR เวอร์ชันที่มีช่องโหว่ความปลอดภัย คลายไฟล์ไปยังโฟลเดอร์ที่ถูกกำหนดไว้ โดยมักจะเป็นโฟลเดอร์ด้านระบบที่สำคัญ เช่น Startup เป็นต้น

ซึ่งสคริปท์ในการใช้งานระบบ ADS เพื่อเปลี่ยนเป้าหมายในการคลายไฟล์นั้น มักจะเริ่มต้นด้วยการระบุชื่อไฟล์ที่ต้องการคลายไฟล์ไปยังโฟลเดอร์ที่กำหนด เช่น innocuous.pdf:malicious.lnk ร่วมกับการกำหนดปลายทาง เช่น

../../../../../Users//AppData/Roaming/Microsoft/Windows/Start Menu/Programs/Startup/malicious.lnk

ซึ่งผลลัพท์นั้นก็จะนำไปสู่การคลายไฟล์ malicious.lnk ซึ่งเป็นไฟล์ของมัลแวร์ลงไปยังโฟลเดอร์ปลายทางที่ถูกกำหนดไว้ในท้ายที่สุด

ทางแหล่งข่าวยังได้ระบุไว้อีกว่า ที่ผ่านมานั้นได้มีแฮกเกอร์หลายกลุ่มจากทั่วโลกได้นำเอาช่องโหว่ดังกล่าวไปใช้ในการแพร่กระจายมัลแวร์หลากสายพันธุ์ เนื่องจากมีกรณีการแฮกด้วยวิธีนี้มากมาย จึงขอคัดมาโดยสังเขป ซึ่งกลุ่มแฮกเกอร์ที่มีการนำช่องโหว่ดังกล่าวไปใช้งานนั้นมีดังนี้

• UNC4895 (CIGAR) จากรัสเซีย ใช้ช่องโหว่ดังกล่าวในการโจมตีเป้าหมายในประเทศยูเครน ด้วยการใช้อีเมลหลอกลวงแบบเจาะจงกลุ่มเป้าหมาย (Spearhead Phishing) เพื่อปล่อยมัลแวร์ NESTPACKER 
• APT44 (FROZENBARENTS) ใช้ช่องโหว่ดังกล่าวเพื่อโจมตีเป้าหมายในประเทศยูเครนเช่นเดียวกันเพื่อปล่อยไฟล์ .LNK ที่จะนำไปสู่การดาวน์โหลดมัลแวร์เพิ่มเติม
• กลุ่มแฮกเกอร์จากจีนที่ไม่ถูกระบุชื่อ ใช้ในการปล่อยมัลแวร์ POISONIVY ผ่านไฟล์สกุล .Bat ที่ถูกวางลงในโฟลเดอร์ Startup จากการใช้ช่องโหว่นี้
• กลุ่มแฮกเกอร์จากอินโดนีเซีย ใช้ช่องโหว่นี้ในการวางไฟล์ .CMD ลงในโฟลเดอร์ Startup ซึ่งจะนำไปสู่การดาวน์โหลดไฟล์บีบอัดสกุล RAR ที่ถูกปกป้องด้วยรหัสผ่าน (Password Protected) ลงมาจากบริการฝากไฟล์ Dropbox ซึ่งภายในมีมัลแวร์ประเภทเปิดประตูหลังของระบบ หรือ Backdoor อยู่
• กลุ่มแฮกเกอร์ในแถบละตินอเมริกา ใช้การส่งอีเมลจองโรงแรมปลอม เพื่อหลอกให้ดาวน์โหลดไฟล์มัลแวร์ ซึ่งจะนำไปสู่การติดตั้งมัลแวร์ประเภทเข้าควบคุมระบบจากระยะไกล หรือ RAT (Remote Access Trojan) เช่น XWorm และ AsyncRAT ลงระบบของเหยื่อ โดยจะมุ่งเน้นการโจมตีไปยังกลุ่มอุตสาหกรรมการท่องเที่ยวและการบริการ (Hospitality) โดยเฉพาะ

นอกนั้นช่องโหว่ดังกล่าวยังถูกนำไปใช้โฆษณาโดยกลุ่มแฮกเกอร์ใต้ดิน "zeroplayer" ตามตลาดมืดของแฮกเกอร์เพื่อขายเครื่องมือสำหรับใช้งานช่องโหว่ (Exploit) อีกด้วย