Diversos grupos de ameaças, tanto patrocinados por Estados quanto motivados financeiramente, vêm explorando a vulnerabilidade crítica
CVE-2025-8088
no WinRAR para obter acesso inicial e distribuir diferentes tipos de payloads maliciosos.
A falha consiste em um bug de path traversal que utiliza Alternate Data Streams (ADS) para gravar arquivos maliciosos em localizações arbitrárias do sistema.
Já havia casos anteriores em que invasores exploraram esse método para plantar malware na pasta de inicialização do Windows, garantindo persistência mesmo após reinicializações.
A empresa de cibersegurança ESET identificou a vulnerabilidade e reportou, no início de agosto de 2025, que o grupo alinhado à Rússia RomCom estava explorando-a em ataques zero-day.
Em relatório recente, o Google Threat Intelligence Group (GTIG) revelou que a exploração teve início em 18 de julho de 2025 e segue ativa até o momento.
Os ataques partem tanto de grupos de espionagem estatal quanto de cibercriminosos menos sofisticados, motivados por ganhos financeiros.
Segundo os pesquisadores do Google, a cadeia de exploração frequentemente envolve esconder o arquivo malicioso dentro dos ADS de um arquivo isca presente no arquivo compactado.
O usuário normalmente visualiza um documento falso, como um PDF, enquanto os ADS contêm payloads ocultos ou dados fictícios.
Ao descompactar, o WinRAR utiliza a técnica de directory traversal para extrair o payload dos ADS, deixando arquivos LNK, HTA, BAT, CMD ou scripts que são executados no momento do login do usuário.
Entre os grupos patrocinados por Estados que exploram a
CVE-2025-8088
estão:
- UNC4895 (RomCom/CIGAR), que distribui o NESTPACKER (Snipbot) via spear phishing a unidades militares ucranianas.
- APT44 (FROZENBARENTS), que utiliza arquivos LNK maliciosos e iscas em ucraniano para downloads subsequentes.
- TEMP.Armageddon (CARPATHIAN), que deposita arquivos HTA em pastas de inicialização — atividade prevista para continuar até 2026.
- Turla (SUMMIT), que implanta a suíte de malware STOCKSTAY com temas relacionados ao exército ucraniano.
- Grupos ligados à China, que usam o exploit para distribuir o POISONIVY, implantado como arquivo BAT que baixa payloads adicionais.
Além disso, atores motivados por ganhos financeiros também exploram essa falha no WinRAR para distribuir ferramentas de acesso remoto comuns e trojans de roubo de informações, como XWorm e AsyncRAT.
Eles também lançam backdoors controlados por bots do Telegram e extensões maliciosas para o Chrome focadas em fraudes bancárias.
Todos esses agentes maliciosos parecem ter adquirido exploits funcionais por meio de fornecedores especializados, como um indivíduo conhecido pelo apelido “zeroplayer”, que anunciou um exploit para WinRAR em julho de 2025.
Esse mesmo ator comercializou múltiplos exploits de alto valor no ano anterior, incluindo supostos zero-days para escape da sandbox do Microsoft Office, execução remota de código (RCE) em VPN corporativa, escalonamento local de privilégios no Windows e técnicas de bypass para soluções de segurança (EDR, antivírus).
Os preços desses exploits variavam entre US$ 80 mil e US$ 300 mil.
O Google destaca que essa dinâmica evidencia a commoditização do desenvolvimento de exploits, etapa crucial na cadeia de ataques cibernéticos.
Isso reduz a complexidade e as barreiras para os invasores, permitindo ataques rápidos e eficazes em sistemas sem patch.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...