Uma falha crítica no WinRAR, popular ferramenta de compressão de arquivos para Windows, está sendo ativamente explorada por grupos de cibercriminosos, segundo alertas divulgados pela CISA (Agência de Segurança Cibernética e Infraestrutura dos EUA). A vulnerabilidade, identificada como CVE-2025-6218, permite que atacantes executem código remotamente ao induzir a vítima a abrir um arquivo malicioso.
O bug afeta especificamente a forma como o WinRAR lida com arquivos compactados do tipo RAR. Por meio de uma técnica de path traversal, um invasor pode inserir arquivos em diretórios críticos do sistema, como a pasta de inicialização, e fazer com que eles sejam executados automaticamente no próximo login do usuário. O ataque exige apenas que o arquivo seja extraído, sem outras interações adicionais. Essa falha já foi corrigida na versão WinRAR 7.12, lançada em junho de 2025. No entanto, muitos usuários e organizações ainda utilizam versões antigas, deixando-se vulneráveis às campanhas maliciosas em andamento. A exploração ativa levou a CISA a incluir a CVE-2025-6218 em seu catálogo de vulnerabilidades conhecidas e exploradas, exigindo que agências federais dos EUA a corrijam até o final de dezembro.
Grupos de ameaças persistentes avançadas (APT), como o Gamaredon, Bitter APT e outros coletivos com atuação geopolítica, estariam utilizando essa falha para espalhar trojans de acesso remoto (RATs) e ferramentas de espionagem. O método comum envolve e-mails de phishing com anexos RAR disfarçados como documentos legítimos. O uso da vulnerabilidade tem se mostrado eficaz justamente por afetar um software amplamente disseminado e, ao mesmo tempo, negligenciado em termos de atualização. Muitos usuários veem o WinRAR como uma ferramenta “neutra”, sem imaginar que possa ser vetor para execução de código malicioso.
