Uma vulnerabilidade zero day no WinRAR (CVE-2025-8088) está sendo explorada por grupos de cibercrime para instalar malware automaticamente durante a extração de arquivos. A falha, corrigida apenas na versão 7.13 lançada em 30 de julho, permite que arquivos maliciosos sejam extraídos para pastas estratégicas do sistema, como a de inicialização, garantindo execução automática na reinicialização. Pesquisadores identificaram que o grupo RomCom, também conhecido como Storm-0978, Tropical Scorpius ou UNC2596, tem usado a falha em ataques de spear phishing contra setores financeiro, de defesa, manufatura e logística na Europa e no Canadá.
Os e-mails maliciosos enviavam arquivos RAR disfarçados de documentos legítimos, como currículos, induzindo os alvos a extrair o conteúdo. A técnica utilizada envolve exploração de travessia de diretórios por meio de Alternate Data Streams (ADSes), um recurso avançado do sistema de arquivos que permite ocultar dados. Com isso, os invasores direcionam a extração de componentes maliciosos para locais sensíveis do sistema operacional, evitando a detecção e garantindo persistência.
Especialistas acreditam que o exploit pode ter sido comercializado no submundo cibernético por valores que chegariam a US$ 80 mil, aumentando o risco de disseminação. Embora o patch corretivo já esteja disponível, o WinRAR não realiza atualizações automáticas. Isso significa que milhões de usuários ainda podem estar expostos, especialmente aqueles que não verificam manualmente por novas versões do software. A recomendação é que usuários e empresas atualizem imediatamente para a versão 7.13, evitem extrair arquivos RAR recebidos por e-mail de remetentes desconhecidos e utilizem ferramentas de segurança capazes de analisar conteúdo compactado antes da execução.
