Earth Dahu

Duas campanhas de ciberataques alinhadas à Rússia continuam a explorar uma vulnerabilidade no WinRAR para atacar organizações ucranianas, quase um ano após a liberação de patches para a falha. A Trend Micro atribui essas atividades aos grupos Earth Dahu e SHADOW-EARTH-066, que utilizam a falha CVE-2025-8088, uma vulnerabilidade de travessia de caminho que permite que atacantes escrevam arquivos fora do diretório de extração. O exploit mais recente envolve arquivos RAR manipulados que contêm um documento PDF de isca e três cargas úteis ocultas. Uma das cargas é um arquivo de atalho do Windows que é executado automaticamente na inicialização do sistema, permitindo que um loader PowerShell seja ativado. O malware resultante, chamado GIFTEDCROOK, visa roubar senhas e cookies de navegadores populares, além de documentos específicos do sistema da vítima. A mudança no canal de exfiltração de dados, que passou do Telegram para servidores dedicados de comando e controle, reflete a adaptação dos grupos de ataque às novas restrições. A Earth Dahu, por sua vez, tem utilizado a vulnerabilidade para manter acesso a longo prazo em organizações comprometidas, utilizando uma cadeia de infecção que envolve scripts VBScript. A prevalência do WinRAR em operações diárias torna essa vulnerabilidade um alvo atraente para exploração, destacando a gravidade das ameaças cibernéticas enfrentadas pela Ucrânia.