Cve-2025-8088

O grupo de cibercriminosos Gamaredon, conhecido por atacar agências governamentais da Europa Oriental, iniciou uma nova campanha de phishing que explora uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088. Essa falha permite que atacantes contornem controles de segurança e extraiam arquivos maliciosos para locais arbitrários do sistema sem interação do usuário, além de abrir um arquivo PDF aparentemente inofensivo.

A técnica utilizada é sofisticada: os atacantes criam arquivos RAR armados que contêm um PDF legítimo e um arquivo HTA malicioso. Ao interagir com o arquivo, a vulnerabilidade é ativada, permitindo que o malware seja depositado silenciosamente na pasta de inicialização do Windows, garantindo sua persistência e execução após a reinicialização do sistema.

Uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088, está sendo explorada por cibercriminosos para instalar malware em computadores sem o conhecimento dos usuários. A falha, com uma pontuação de 8.8 na escala CVSS, permite que arquivos maliciosos sejam extraídos para pastas do sistema operacional ao abrir arquivos aparentemente inofensivos. Descoberta pela ESET em julho de 2025, a vulnerabilidade afeta todas as versões do WinRAR até a 7.12 e foi corrigida na versão 7.13, lançada em 30 de julho. O ataque utiliza uma técnica chamada “path traversal” em combinação com “Alternate Data Streams” (ADS), permitindo que arquivos maliciosos sejam colocados em locais críticos do Windows, como a pasta de inicialização. A falta de um sistema de atualização automática no WinRAR torna milhões de usuários vulneráveis, especialmente ao abrir arquivos RAR suspeitos. O grupo de hackers RomCom, conhecido por suas operações sofisticadas, está por trás dessa exploração, utilizando malwares como SnipBot e RustyClaw para roubar dados e manter controle sobre os sistemas infectados. A atualização imediata do WinRAR é essencial para evitar compromissos de segurança.