Winrar

Pesquisadores de segurança da BI.ZONE Threat Intelligence revelaram uma campanha sofisticada do grupo de ameaças Paper Werewolf, que explorou uma vulnerabilidade conhecida e uma falha zero-day no software de arquivamento WinRAR. As investigações, realizadas em julho de 2025, mostraram que os atacantes, que se disfarçaram como representantes de instituições de pesquisa e ministérios do governo da Rússia, distribuíram arquivos RAR maliciosos através de contas de e-mail legítimas comprometidas. A vulnerabilidade CVE-2025-6218 permitiu a execução remota de código, extraindo arquivos para diretórios não intencionais e colocando um executável modificado no diretório de inicialização do Windows, estabelecendo uma conexão reversa com um servidor de comando e controle. Além disso, uma nova vulnerabilidade zero-day foi identificada, permitindo que cargas maliciosas fossem escritas em diretórios do sistema durante a extração de arquivos. Essa campanha destaca a eficácia contínua dos métodos de entrega de malware baseados em arquivos compactados, sublinhando a importância de manter softwares atualizados e implementar soluções de monitoramento de segurança abrangentes.

Uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088, está sendo explorada por cibercriminosos para instalar malware em computadores sem o conhecimento dos usuários. A falha, com uma pontuação de 8.8 na escala CVSS, permite que arquivos maliciosos sejam extraídos para pastas do sistema operacional ao abrir arquivos aparentemente inofensivos. Descoberta pela ESET em julho de 2025, a vulnerabilidade afeta todas as versões do WinRAR até a 7.12 e foi corrigida na versão 7.13, lançada em 30 de julho. O ataque utiliza uma técnica chamada “path traversal” em combinação com “Alternate Data Streams” (ADS), permitindo que arquivos maliciosos sejam colocados em locais críticos do Windows, como a pasta de inicialização. A falta de um sistema de atualização automática no WinRAR torna milhões de usuários vulneráveis, especialmente ao abrir arquivos RAR suspeitos. O grupo de hackers RomCom, conhecido por suas operações sofisticadas, está por trás dessa exploração, utilizando malwares como SnipBot e RustyClaw para roubar dados e manter controle sobre os sistemas infectados. A atualização imediata do WinRAR é essencial para evitar compromissos de segurança.