WinRAR từ lâu đã được mệnh danh là “phần mềm quốc dân” trên mọi máy tính Windows tại Việt Nam, từ văn phòng công sở cho đến máy tính cá nhân ở nhà. Tuy nhiên, sự phổ biến này đang biến nó trở thành miếng mồi ngon cho tội phạm mạng. Mặc dù nhà phát triển đã tung ra bản vá lỗi quan trọng từ tháng 7 năm 2025 để bịt lại lỗ hổng nghiêm trọng mang mã hiệu CVE-2025-8088, nhưng đến nay, gần một năm trôi qua, các chuyên gia bảo mật từ Google vẫn phát hiện hàng loạt cuộc tấn công quy mô lớn nhắm vào người dùng chưa cập nhật. Đáng lo ngại hơn, những kẻ đứng sau các chiến dịch này không chỉ là tin tặc tống tiền lẻ tẻ, mà còn là các nhóm hacker được hậu thuẫn bởi các quốc gia lớn.
Cạm bẫy tinh vi phía sau những tệp tin nén vô hại
Lỗ hổng CVE-2025-8088 không hoạt động theo cách tấn công trực diện thô thiển, mà nó lợi dụng một cơ chế cực kỳ tinh vi của hệ thống tập tin Windows NTFS gọi là “Alternate Data Streams” (Luồng dữ liệu thay thế). Hãy tưởng tượng tính năng này giống như một “ngăn bí mật” trong chiếc balo. Khi bạn nhìn vào tệp tin nén, bạn chỉ thấy nội dung chính (chiếc balo), nhưng không hề biết rằng hacker đã giấu một vũ khí nguy hiểm (mã độc) vào ngăn bí mật đó. Nguy hiểm ở chỗ, giao diện Windows thông thường không hiển thị các luồng dữ liệu ẩn này, khiến người dùng hoàn toàn mất cảnh giác.
Kịch bản tấn công diễn ra rất mượt mà: Hacker gửi cho nạn nhân một tệp tin nén chứa một tập tin “mồi nhử” có vẻ vô hại, ví dụ như một văn bản PDF hay hình ảnh. Khi người dùng sử dụng phiên bản WinRAR cũ để mở tệp tin này, mã độc ẩn trong “ngăn bí mật” sẽ âm thầm thoát ra và tự sao chép chính nó vào thư mục khởi động (Startup) của Windows. Điều này có nghĩa là, ngay lần tiếp theo bạn bật máy tính, mã độc sẽ tự động kích hoạt, chiếm quyền kiểm soát hệ thống, đánh cắp dữ liệu hoặc cài đặt các phần mềm gián điệp mà bạn không hề hay biết.
Nhóm Phân tích Mối đe dọa của Google (GTIG) cho biết kỹ thuật này đang được rao bán công khai và hoàn thiện trên các diễn đàn chợ đen. Một nhân vật nổi tiếng trong giới tội phạm mạng với biệt danh “zeroplayer” – kẻ chuyên cung cấp công cụ tấn công vào Microsoft Office và các phần mềm VPN – đã tích cực quảng bá cho phương thức khai thác này. Điều đó chứng tỏ lỗ hổng này “đáng tin cậy” và hiệu quả đến mức nào trong mắt giới tội phạm.
Tại sao bản vá đã có mà người dùng vẫn là nạn nhân?
Câu hỏi đặt ra là: Tại sao nhà sản xuất Rarlab đã tung ra phiên bản WinRAR 7.13 để sửa lỗi từ lâu, nhưng số lượng nạn nhân vẫn không ngừng tăng lên? Nguyên nhân cốt lõi nằm ở thói quen sử dụng và cơ chế cập nhật của phần mềm này. Khác với trình duyệt Chrome hay Windows 11 luôn tự động tải về và cài đặt các bản cập nhật mới nhất để bảo vệ người dùng, WinRAR không có cơ chế tự động cập nhật (auto-update). Muốn nâng cấp, người dùng buộc phải tự nhớ, tự truy cập trang chủ tải về và cài đặt thủ công.
Chính sự bất tiện này đã tạo ra một khoảng trống an ninh khổng lồ. Hàng triệu máy tính vẫn đang chạy các phiên bản WinRAR cũ kỹ từ nhiều năm trước, và đây chính là “mỏ vàng” cho các nhóm hacker khai thác. Theo báo cáo của Google, các nhóm tin tặc có liên hệ với Nga đang tích cực sử dụng lỗ hổng này để nhắm vào các cơ quan chính phủ và quân sự tại Ukraine. Tương tự, các nhóm hacker được cho là liên kết với Trung Quốc cũng đang tận dụng nó cho các hoạt động gián điệp mạng. Ngoài ra, các băng đảng tội phạm tài chính cũng không bỏ qua cơ hội này để phát tán mã độc tống tiền (ransomware) trên phạm vi toàn cầu.
Thực tế cho thấy, trong thế giới công nghệ, sự lười biếng hay chủ quan đôi khi phải trả giá rất đắt. Một phần mềm giải nén nhỏ bé, ít ai để ý lại có thể trở thành cánh cửa hậu để kẻ gian thâm nhập vào toàn bộ hệ thống dữ liệu quý giá của bạn. Việc dựa vào các phần mềm diệt virus là chưa đủ, bởi các kỹ thuật giấu mình trong luồng dữ liệu ẩn NTFS thường rất khó bị phát hiện bởi các công cụ quét thông thường.
Tóm lại, nếu bạn đang đọc bài viết này và thấy biểu tượng WinRAR quen thuộc trên màn hình máy tính của mình, hãy dành ra 1 phút để kiểm tra phiên bản. Nếu nó thấp hơn phiên bản 7.13, hãy truy cập trang chủ và tải bản mới nhất về ngay lập tức. Đừng để sự trì hoãn biến chiếc máy tính của bạn thành công cụ cho các cuộc tấn công mạng, nhất là khi giải pháp phòng vệ hoàn toàn miễn phí và nằm trong tầm tay.