Így működtek a támadók
A támadási lánc lényege az volt, hogy a WinRAR egyedi RAR-fájljai számos rejtett ADS-fertőzött állományt tartalmaztak. Ezek elsőre ártalmatlan hibajelzéseket váltottak ki, miközben a háttérben kártékony DLL, EXE és LNK fájlokat helyeztek el a rendszer fontos könyvtáraiban, például a %TEMP%, %LOCALAPPDATA% és a Windows Indítópult (Startup) mappájában. Emiatt a fertőzés automatikusan elindult minden újabb bejelentkezéskor.
Ismert RomCom kártevők: háromféle támadási lánc
Három különböző támadási láncot dokumentáltak. Az egyik a Mythic Agent Updater.lnk, amely msedge.dll-t helyez el egy registry helyen, és csak meghatározott Windows domaineken aktiválódik. Ez a Mythic nevű kártevőt (Mythic) indítja el, amely parancsokat hajt végre, és további letöltéseket tesz lehetővé.
A SnipBot Display Settings.lnk egy módosított PuTTY CAC-ot indít, amely érvénytelen tanúsítvánnyal fut, ellenőrzi a legutóbbi 69 dokumentumot, és újabb kártékony kódokat tölt le a támadó szervereiről.
A MeltingClaw Settings.lnk pedig egy Complaint.exe-t (Rozsdás Karom – RustyClaw) reklámoz, amely egy MeltingClaw DLL-t tölt le, az pedig további modulokat juttat a fertőzött gépre.
Miért volt ennyire sikeres a támadás?
Bár a WinRAR fejlesztői július 30-án kiadták a javítást, erről az aktív támadások idején sokan nem értesültek. Sok vállalat és tapasztalt felhasználó ma is WinRAR-t használ, mivel a Windows beépített tömörítője kevesebbre képes, és csak a legújabb verziókban érhető el. Ráadásul a WinRAR nem frissül automatikusan, így a védelem csak azoknál él, akik külön letöltötték és telepítették a javított verziót.
A támadássorozatot egy másik orosz csoport, a Papír Vérfarkas (Paper Werewolf) is kihasználta, akik szintén erre, illetve egy korábbi sérülékenységre (CVE-2025-6218) építettek. Az ESET minden fontosabb részletet és indikátort nyilvánosságra hozott, hogy a védekezés hatékonyabb lehessen a jövőben.
