Criminosos exploram falha no WinRAR para espionar e roubar dados de vítimas

Dois grupos de cibercriminosos alinhados à Rússia estão explorando uma vulnerabilidade no WinRAR para atacar organizações militares e governamentais da Ucrânia. A descoberta foi publicada nesta semana pela empresa de cibersegurança Trend Micro. A falha já tinha sido corrigida em julho de 2025, mas segue sendo usada em ataques porque muitos sistemas ainda não receberam a atualização.

Os grupos responsáveis pelos ataques são conhecidos como Shadow-Earth-066 e Earth Dahu. Esse último também é chamado de Gamaredon e opera desde pelo menos 2013. Ambos usam e-mails maliciosos como ponto de entrada, mas conduzem os ataques de formas diferentes depois disso.

O WinRAR é um programa usado para compactar e descompactar arquivos no Windows, parecido com o famoso "zip". Ele é muito popular, estima-se que centenas de milhões de pessoas ao redor do mundo o utilizem. Isso o torna um alvo atraente para criminosos, isso porque atacar um software amplamente usado aumenta muito as chances de encontrar vítimas vulneráveis.

Intimação judicial falsa usada como isca pelo Shadow-Earth-066. O documento imita uma notificação do Tribunal Administrativo Regional de Dnipro acusando o destinatário de “espalhar rumores falsos”. Trend Micro.

O problema específico explorado nesses ataques tem o código CVE-2025-8088 e é classificado como uma vulnerabilidade de "path traversal". Na prática, isso significa que um arquivo RAR malicioso consegue escrever conteúdo fora da pasta onde deveria ser extraído. Os criminosos usam isso para colocar arquivos silenciosamente na pasta de inicialização do Windows, que é onde o sistema operacional executa programas automaticamente quando o usuário faz login.

A vítima abre o arquivo compactado, vê apenas um documento aparentemente normal, uma notificação de tribunal, um documento do ministério da defesa, e não percebe nada de errado. Em segundo plano, o ataque já aconteceu.

O Shadow-Earth-066 envia e-mails com temas militares ou governamentais para atrair alvos. O arquivo RAR anexado contém um PDF como isca e três arquivos ocultos. Quando a vítima abre o compactado, o WinRAR vulnerável escreve esses arquivos em locais estratégicos do sistema sem exibir nenhum aviso.

WinRAR vulnerável extrai o arquivo RAR em uma pasta normal, mas os arquivos ocultos usam sequências de navegação de diretório (..) para escapar do caminho padrão e gravar conteúdo diretamente na pasta de inicialização do Windows, sem exibir nenhum aviso ao usuário. Trend Micro.

As informações são do site TecMundo

Compartilhe este artigo

Continue lendo

Voltar ao Blog