Código HTML do Conteúdo
Post: Novo WinRAR Zero-Day Explorado por Hackers RomCom - Against Invaders - Notícias de CyberSecurity para humanos.
<div>
<div>
<div>
<div data-edit-folder-name="text" data-index="0" data-layout-id="2" id="layout-422a8954-1930-42ec-af1c-1b26339d6c04">
<p>Uma vulnerabilidade recém-descoberta no WinRAR foi explorada pela Rússia <a href="https://www.infosecurity-magazine.com/news/romcom-apt-zeroday-flaws-firefox/" target="_blank">Romcom</a>.</p>
<p>De acordo com um comunicado publicado por pesquisadores da ESET hoje, a falha, rastreada como CVE-2025-8088, permite que os invasores ocultem arquivos maliciosos em um arquivo que são implantados silenciosamente durante a extração.</p>
<p>Um patch foi lançado em 302025 de julho e os usuários são incentivados a atualizar imediatamente.</p>
<h2>Como funciona o ataque</h2>
<p>A vulnerabilidade de travessia de caminho, habilitada por meio de fluxos de dados alternativos, afeta vários componentes, incluindo os utilitários de linha de comando do Windows do WinRAR, UnRAR.dll e o código-fonte UnRAR portátil.</p>
<p>Ao criar arquivos para parecerem inofensivos, os invasores ocultam DLLs maliciosas e arquivos LNK que são implantados nos diretórios do sistema, permitindo a persistência e a execução do código.</p>
<p>Entre 18 e 21 de julho, a RomCom usou e-mails de spear-phishing para atingir empresas financeiras, de manufatura, defesa e logística na Europa e no Canadá. Os e-mails carregavam iscas de solicitação de emprego com anexos de arquivos RAR.</p>
<p>De acordo com a ESET, nenhum compromisso bem-sucedido foi observado durante esta campanha.</p>
<p><a href="https://www.infosecurity-magazine.com/news/russian-apt-intensify-cyber/" target="_blank"><em>Leia mais sobre táticas avançadas de ameaças persistentes: Grupos APT russos intensificam ataques na Europa com explorações de dia zero e limpadores</em></a></p>
<p>Os pesquisadores de segurança identificaram três cadeias de ataque distintas:</p>
<ul>
<li>
<p>Agente mítico: Usou o sequestro de COM para executar uma DLL maliciosa, que então descriptografou e executou o código shell vinculado a um servidor de comando e controle (C2)</p>
</li>
<li>
<p>Variante do SnipBot: Entregue por meio de um executável PuTTY CAC modificado que só era executado se o sistema mostrasse sinais de uso no mundo real, como um grande número de documentos abertos recentemente</p>
</li>
<li>
<p>MeltingClaw (RustyClaw): Um downloader escrito em Rust que recuperou cargas adicionais de servidores remotos</p>
</li>
</ul>
<p>Cada cadeia aproveitou verificações de domínio codificadas ou técnicas anti-análise para evitar a detecção em ambientes de teste.</p>
<h2>Um padrão de explorações de dia zero</h2>
<p>RomCom, também conhecido como Storm-0978, Tropical Scorpiusor UNC2596, tem um histórico de exploração de vulnerabilidades anteriormente desconhecidas.</p>
<p>Em junho de 2023, abusou do CVE-2023-36884 no Microsoft Word e, em outubro de 2024, <a href="https://www.infosecurity-magazine.com/news/romcom-backdoor-female-political/" target="_blank">encadeou duas vulnerabilidades</a>, incluindo CVE-2024-9680 no Firefox, para fornecer backdoors. O grupo se envolve em ataques com motivação financeira e espionagem direcionada.</p>
<p>A ESET observou que outro agente de ameaça não identificado começou a explorar o CVE-2025-8088 logo após o RomCom. A velocidade do lançamento do patch da equipe WinRAR, apenas um dia após ser informada, foi destacada como crítica na redução da exposição.</p>
<p>Os especialistas em segurança recomendam atualizações imediatas do WinRAR e componentes relacionados para mitigar o risco dessa falha.</p>
</div>
</div>
</div></div>