Uma vulnerabilidade de dias zero de alta severidade no utilitário de compactação de arquivos Winrar amplamente utilizado, identificado como CVE-2025-8088, foi explorado ativamente por dois grupos de crime cibernética russa, levando à backdoor de computadores que abriam arquivos maliciosos. A ESET, uma empresa de segurança, detectou esses ataques pela primeira vez em 18 de julho, quando sua telemetria sinalizou um arquivo em um caminho incomum de diretório. Em 24 de julho, a ESET determinou que a atividade estava vinculada a uma vulnerabilidade desconhecida em Winrar, que possui uma base instalada de aproximadamente 500 milhões de usuários. O ESET notificou prontamente desenvolvedores Winrar no mesmo dia, e uma correção foi lançada seis dias depois.
A vulnerabilidade alavancou fluxos de dados alternativos, um recurso do Windows, para explorar uma falha de travessia de caminho. Isso permitiu que os executáveis maliciosos fossem plantados em caminhos de arquivo escolhidos por atacantes, especificamente %temp %e %LocalAppData %, que o Windows normalmente restringe devido à sua capacidade de executar o código. A ESET atribuiu esses ataques à Romcom, um grupo de crime cibernético motivado financeiramente que opera na Rússia. Anton Cherepanov, Peter Strýček e Damien Schaeffer, da Eset, observaram: “Ao explorar uma vulnerabilidade de dias zero anteriormente desconhecida em Winrar, o grupo Romcom mostrou que está disposto a investir um esforço sério e os recursos em suas ciberaperações.
Curiosamente, a Romcom não era o único grupo que explora CVE-2025-8088. A empresa de segurança russa Bi.Zone informou que a mesma vulnerabilidade também estava sendo explorada ativamente por um grupo que ele acompanha como lobisomem de papel, também conhecido como Goffee. Esse grupo estava explorando simultaneamente o CVE-2025-6218, outra vulnerabilidade Winrar de alta severidade que havia sido corrigida cinco semanas antes do lançamento da correção para CVE-2025-8088. A Bi.Zone afirmou que o lobisomem entregou em julho e agosto através de arquivos anexados a e-mails que representam funcionários do Instituto de Pesquisa da Russa, com o objetivo final de instalar malware para obter acesso a sistemas infectados.
Embora as descobertas da ESET e BI.Zona fossem independentes, ainda não está claro se os grupos que exploram essas vulnerabilidades estão conectados ou obtidos com o conhecimento de exploração de uma fonte compartilhada. A Bi.Zone especulou que o lobisomem de papel poderia ter adquirido as vulnerabilidades através de um fórum de crimes do mercado sombrio. O ESET observou três cadeias de execução distintas nos ataques que monitorou. Uma cadeia, direcionada a uma organização específica, envolveu a execução de um arquivo de DLL malicioso escondido em um arquivo por meio de seqüestro com o COM. Esse método fez com que a DLL fosse executada por determinados aplicativos, como o Microsoft Edge. A DLL descriptografaria o código de shell incorporado, que recuperou o nome de domínio da máquina atual e o comparou com um valor codificado. Se eles correspondessem, o shellcode instalou uma instância personalizada da estrutura de exploração de agentes míticos.
Uma segunda cadeia de execução envolveu a execução de um executável do Windows malicioso para entregar o Snipbot, uma peça conhecida de malware Romcom, como a carga útil final. Esse malware incorporou técnicas de anti-análise, terminando quando abertas em uma máquina virtual ou caixa de areia vazia, uma prática comum entre os pesquisadores para evitar a análise forense. A terceira cadeia de execução utilizou duas outras variantes conhecidas de malware da ROMCOM: Rustyclaw e Garra de Mederção.
As vulnerabilidades de Winrar têm um histórico de ser explorado para instalação de malware. Uma vulnerabilidade de execução de código a partir de 2019 viu exploração generalizada logo após ser corrigida. Mais recentemente, em 2023, um dia zero de Winrar foi explorado por mais de quatro meses antes de os ataques serem detectados. A grande base de usuários da Winrar, combinada com a falta de um mecanismo de atualização automatizado – que requer usuários para baixar e instalar manualmente patches – faz com que ele seja um veículo ideal para propagação de malware. O ESET também destacou que as versões do Windows do utilitário de linha de comando unar.dll e o código-fonte UNRRAR portátil também são vulneráveis. Os usuários são aconselhados a atualizar para a versão 7.13 do Winrar ou posterior, que, no momento deste relatório, incluía correções para todas as vulnerabilidades conhecidas. No entanto, dada a natureza recorrente de Winrar zero dias, isso fornece garantia limitada contra ameaças futuras.
Source: CVE-2025-8088 de dia zero de Winrar explorado pela ROMCOM
