Дыра в WinZip без патча: файлы из интернета теряют защиту при распаковке

Екатерина Быстрова 22 Апреля 2025 - 09:09

...

Дыра в WinZip без патча: файлы из интернета теряют защиту при распаковке

Если вы всё ещё пользуетесь WinZip, будьте осторожны: в популярной утилите для архивирования обнаружили серьёзную брешь. Уязвимость получила идентификатор CVE-2025-33028 и позволяет атакующим обойти защиту Mark-of-the-Web — ту самую, что обычно предупреждает о подозрительных файлах, скачанных из интернета.

Что вообще такое Mark-of-the-Web?

Это механизм в Windows, который ставит на скачанные файлы специальную «метку». Благодаря ей система знает: файл пришёл из внешнего источника и может быть опасным. Когда вы, например, открываете Word-документ с макросами, Windows по этой метке поднимает тревогу: «Стой, подумай дважды!»

Но вот беда — WinZip 29.0 (64-bit) просто не передаёт эту метку извлечённым файлам. То есть вы скачали архив с интернета — он помечен, всё честно. Но стоит открыть его в WinZip и распаковать — и всё, метка исчезла. Файлы выглядят для Windows как «свои», безопасные, даже если внутри — злобные макросы или скрипты.

Техническую информацию о CVE-2025-33028 можно найти на GitHub.

Как это работает на практике?

Злоумышленник собирает архив с вредоносным файлом (например, заражённым .docm).
Архив выкладывается в интернет, вы его скачиваете — он получает метку MotW.
Вы открываете его в WinZip и извлекаете содержимое.
WinZip стирает метку. Windows считает файл доверенным.
Запускается вредонос — без предупреждений.

Чем это грозит?

Запуск кода без ведома пользователя — можно установить малварь или даже получить полный контроль над системой.
Повышение привилегий — вредонос может делать то, что обычный пользователь не может.
Утечка данных — злоумышленник получит доступ к личной информации.

Что делать?

Не открывайте подозрительные архивы в WinZip, особенно те, что пришли из интернета.
Пользуйтесь альтернативами, например, встроенным архиватором Windows — он уважает MotW.
Установите антивирус, способный отлавливать вредоносные макросы.

Буквально в феврале мы писали о CVE-2025-1240 — ещё одной опасной уязвимости в WinZip, позволяющей удалённо выполнить произвольный код на устройстве. К счастью, разработчики уже подготовили соответствующий патч.

Следующая главная новость »

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »

Татьяна Никитина 11 Февраля 2026 - 21:02

Фишинг Мошенничество Онлайн-мошенничество Домашние пользователи Лаборатория Касперского

Мошенники угоняют аккаунты Telegram с помощью встроенных приложений

Специалисты «Лаборатории Касперского» выявили новую схему массового угона телеграм-аккаунтов. Авторы атак используют встроенные в мессенджер вредоносные приложения, собирающие коды аутентификации на вход с нового устройства.

Мошеннические сообщения-приманки, как правило, распространяются в многолюдных группах. Получателей извещают о переносе чата из-за потери доступа к админ-аккаунту.

Ложное уведомление содержит ссылку «Перейти в новосозданный чат». При ее активации открывается окно встроенной телеграм-проги с полем для ввода пятизначного кода.

Если пользователь выполнит это действие, в его аккаунт будет добавлено устройство злоумышленников, и они смогут продолжить провокационные рассылки — уже от имени жертвы.

Эксперты не преминули отметить, что обманом полученный доступ к учетной записи Telegram будет вначале ограниченным: мошенники сразу не смогут изучить всю переписку жертвы и заблокировать его устройства. Эти возможности появятся позже, как и блокировка законного владельца аккаунта.

Характерной особенностью данной схемы является иллюзия легитимности: фишинговые ресурсы не используются, мошенническая ссылка привязана к Telegram и ведет в приложение в этом мессенджере. Известие о пересоздании чата тоже вряд ли вызовет подозрения из-за участившихся взломов.

По данным Kaspersky, вредоносные приложения, нацеленные на сбор кодов верификации, объявились в Telegram в конце прошлой недели. Если жертва будет действовать быстро, она сможет вернуть контроль над учётной записью через настройки мессенджера (=> «Конфиденциальность» => «Активные сессии» => «Завершить все другие сеансы»).

«Аккаунты в популярных мессенджерах остаются лакомым куском для злоумышленников, — комментирует Сергей Голованов, главный эксперт ИБ-компании. — Мы напоминаем о необходимости быть крайне внимательными, не переходить по подозрительным ссылкам и ни при каких условиях нигде не вводить код аутентификации, полученный от Telegram, а также устанавливать на все используемые устройства надёжные защитные решения».

Отметим, похожую схему угона телеграм-аккаунтов, тоже с использованием легитимной функциональности мессенджера и социальной инженерии, недавно обнародовала CYFIRMA. Выявленный метод тоже не предполагает взлома, обхода шифрования либо эксплойта уязвимостей; умело спровоцированный юзер сам выдает разрешение на доступ к его учетной записи.

Резервные копии не работают? Расскажем в эфире AM Live, как делать по уму. Регистрируйтесь! »