A Google emitiu um alerta sobre a exploração em larga escala de uma vulnerabilidade crítica no WinRAR, identificada como CVE-2025-8088. A falha, descoberta e corrigida em julho de 2025, continua sendo usada por diversos grupos cibercriminosos, incluindo agentes estatais da Rússia e da China, para obter acesso inicial a sistemas e instalar malwares. Com pontuação CVSS de 8.8, a falha permite que arquivos maliciosos sejam extraídos automaticamente na pasta de inicialização do Windows, executando códigos sem o conhecimento do usuário.
O método explorado envolve arquivos RAR especialmente preparados, que disfarçam atalhos maliciosos (LNK) ou scripts dentro de arquivos aparentemente inofensivos. Entre os grupos que vêm explorando essa brecha estão o RomCom, conhecido por campanhas de espionagem e uso do malware SnipBot, além de Sandworm, Gamaredon e Turla, todos ligados a operações de ciberespionagem com foco na Ucrânia. Também foi identificada a atuação de um ator chinês que distribui o trojan Poison Ivy via scripts maliciosos. Além das ameaças estatais, grupos com motivações financeiras vêm usando a falha para instalar trojans de acesso remoto como AsyncRAT e XWorm.
Em alguns casos, extensões maliciosas do Chrome foram utilizadas para realizar fraudes bancárias, especialmente visando usuários no Brasil. A popularização da falha foi alimentada por um mercado clandestino de exploits, com agentes oferecendo kits prontos para uso. Um fornecedor identificado como “zeroplayer” chegou a comercializar esse exploit antes da divulgação oficial da CVE-2025-8088, facilitando o acesso de cibercriminosos com menor capacidade técnica. A falha ainda está presente em sistemas que não foram atualizados para o WinRAR 7.13 ou superior. Mesmo após a liberação do patch, a ausência de atualização por parte dos usuários tem mantido o ataque viável.
