Uma vulnerabilidade do WinRAR corrigida recentemente rastreada comoCVE-2025-8088 foi explorada como um dia zero em ataques de phishing para instalar o malware RomCom.
A falha éuma vulnerabilidade de travessia de diretório que foi corrigida no WinRAR 7.13, que permite que arquivos especialmente criados extraiam arquivos para um caminho de arquivo selecionado pelo invasor.
“Ao extrair um arquivo, as versões anteriores do WinRAR, versões do Windows do RAR, UnRAR, código-fonte UnRAR portátil e UnRAR.dll podem ser induzidas a usar um caminho, definido em um arquivo especialmente criado, em vez do caminho especificado pelo usuário”, diz o Registro de alterações do WinRAR 7.13.
“As versões Unix de RAR, UnRAR, código-fonte portátil UnRAR e biblioteca UnRAR, também como RAR para Android, não são afetadas.”
Usando essa vulnerabilidade, os invasores podem criar arquivos que extraem executáveis em caminhos de execução automática, como a pasta de inicialização do Windows localizada em:
%APPDATA%MicrosoftWindowsStart MenuProgramsStartup (Local to user)
%ProgramData%MicrosoftWindowsStart MenuProgramsStartUp (Machine-wide)
Na próxima vez que um usuário fizer login, o executável será executado automaticamente, permitindo que o invasor obtenha a execução remota do código.
Como o WinRAR não inclui um recurso de atualização automática, é altamente recomendável que todos os usuários baixem e instalem manualmente a versão mais recente de win-rar.com portanto, eles estão protegidos dessa vulnerabilidade.
Explorado como um dia zero em ataques
A falha foi descoberta por Anton Cherepanov, Peter Košinár e Peter Strýček da ESET, com Strýčekdizendo ao BleepingComputer que ela foi ativamente explorada em ataques de phishing para instalar malware.
“A ESET observou e-mails de spearphishing com anexos contendo arquivos RAR”, disse Strýček ao BleepingComputer.
Esses arquivos exploraram o CVE-2025-8088 para fornecer backdoors RomCom. RomCom é um grupo alinhado à Rússia.”
RomCom (também rastreado como Storm-0978, Tropical Scorpius ou UNC2596) é um grupo de hackers russo vinculado a ataques de ransomware e extorsão de roubo de dados, juntamente com campanhas focadas no roubo de credenciais.
O grupo é conhecido pelo uso de Vulnerabilidades de dia zero em ataques e o uso de malware personalizado para uso em Ataques de roubo de dados, persistência e agir como backdoors.
O RomCom já foi associado a várias operações de ransomware, incluindoCuba eEspião Industrial.
A ESET está trabalhando em um relatório sobre a exploração, que será publicado posteriormente.
