Investigadores de segurança emitiram um alerta sobre uma vulnerabilidade crítica no popular software de compressão de ficheiros WinRAR. A falha, identificada como CVE-2025-8088, foi explorada em ataques “zero-day” por um grupo de hackers russo conhecido como ‘RomCom’ para distribuir diferentes tipos de malware.
A recomendação é clara e urgente: todos os utilizadores devem atualizar o WinRAR para a versão mais recente o mais rapidamente possível para se protegerem destes ataques ativos.
Como funciona o ataque?
A vulnerabilidade é do tipo “path traversal”, o que, de forma simplificada, permite que um atacante extraia ficheiros para pastas específicas no computador da vítima sem a sua permissão. O ataque começa com a criação de um ficheiro RAR malicioso. Quando um utilizador desavisado abre este ficheiro, o exploit é ativado.
Os hackers utilizam uma técnica sofisticada que recorre a Alternate Data Streams (ADS) para esconder os ficheiros maliciosos, como DLLs e atalhos do Windows (ficheiros LNK), dentro do arquivo. Estes ficheiros são então extraídos para pastas sensíveis do sistema, como a pasta de Arranque do Windows. Desta forma, o malware é executado automaticamente na próxima vez que o utilizador iniciar sessão no seu computador.
RomCom: um grupo com historial de ataques ‘zero-day’
O grupo por detrás desta campanha, conhecido como RomCom (ou Storm-0978 e Tropical Scorpius), não é um novato no mundo da ciberespionagem. Este grupo russo tem um historial de exploração de vulnerabilidades de dia zero, tendo já sido associado a ataques que visaram falhas no Firefox e no Microsoft Office.
De acordo com o relatório da ESET, que descobriu a exploração a 18 de julho de 2025, os ataques distribuíram várias famílias de malware conhecidas, incluindo:
Mythic Agent: Um agente que permite a comunicação com um servidor de comando e controlo (C2), execução de comandos remotos e entrega de payloads adicionais.
SnipBot: Um malware que verifica a atividade recente do utilizador antes de descarregar mais código malicioso dos servidores dos atacantes.
MeltingClaw: Um payload que descarrega e executa módulos maliciosos adicionais da infraestrutura do atacante.
Outra empresa de cibersegurança, a Bi.Zone, também observou um grupo diferente, apelidado de ‘Paper Werewolf’, a tirar partido desta mesma vulnerabilidade.
Atualização é urgente: WinRAR 7.13 já disponível
Após a notificação por parte da ESET, a equipa do WinRAR agiu rapidamente e lançou uma correção para a falha a 30 de julho de 2025, com a versão 7.13. No entanto, o WinRAR não possui um sistema de atualizações automáticas, o que significa que a proteção depende da ação manual de cada utilizador.
Mesmo com o Windows a oferecer suporte nativo para ficheiros RAR desde 2023, o WinRAR continua a ser uma ferramenta extremamente popular, usada por milhões de pessoas e empresas em todo o mundo, tornando-se um alvo valioso para ciberataques.
Para garantir a sua segurança, é crucial descarregar e instalar a versão mais recente do WinRAR diretamente do site oficial.
Nenhum comentário
Seja o primeiro!