Vulnerabilidade CVE-2025-8088 do WinRAR
Pesquisadores de segurança descobriram uma ampla exploração de uma vulnerabilidade crítica, agora corrigida, no RARLAB WinRAR por diversos agentes maliciosos. Tanto adversários patrocinados por Estados-nação quanto grupos com motivações financeiras têm se aproveitado da falha para obter acesso inicial a ambientes-alvo e implantar uma ampla gama de payloads maliciosos. Apesar de ter sido corrigida em julho de 2025, a vulnerabilidade continua sendo explorada em diversas operações, evidenciando os riscos persistentes associados a softwares sem as devidas correções.
Índice
CVE-2025-8088: Visão geral técnica e impacto
A vulnerabilidade, identificada como CVE-2025-8088 com uma pontuação CVSS de 8,8, foi corrigida na versão 7.13 do WinRAR, lançada em 30 de julho de 2025. A exploração permite a execução de código arbitrário por meio de arquivos compactados especialmente criados e abertos em versões vulneráveis do software. A causa raiz é uma falha de path traversal que permite que invasores insiram arquivos em locais sensíveis, principalmente na pasta Inicializar do Windows, possibilitando persistência oculta e execução automática após a reinicialização do sistema e o login do usuário.
Essa técnica de exploração reflete uma lacuna defensiva mais ampla em relação às práticas básicas de segurança de aplicativos e à conscientização do usuário final.
Do Dia Zero ao Dia N: A Evolução dos Ataques
A falha foi explorada como uma vulnerabilidade zero-day já em 18 de julho de 2025, notavelmente pelo grupo de ameaças de dupla motivação RomCom (também conhecido como CIGAR ou UNC4895). Essas operações distribuíram uma variante do malware SnipBot (NESTPACKER). Os pesquisadores também associam atividades relacionadas ao cluster rastreado como UNC2596, que foi vinculado a implantações do ransomware Cuba.
Após a divulgação pública e a correção, a vulnerabilidade rapidamente se tornou uma falha de segurança amplamente explorada, com atacantes incorporando arquivos maliciosos, frequentemente atalhos do Windows (LNK) ocultos em fluxos de dados alternativos (ADS), dentro de conteúdo falso. Uma vez extraídos, esses arquivos são colocados em caminhos de sistema predeterminados e executados automaticamente após a reinicialização.
Operações de Estados-nação expandem a exploração
Diversos grupos de ameaças ligados a governos incorporaram a vulnerabilidade CVE-2025-8088 em campanhas ativas. Atores alinhados à Rússia, em particular, têm usado iscas personalizadas e cargas úteis secundárias para promover objetivos de espionagem e de sabotagem.
- O Sandworm (também conhecido como APT44 ou FROZENBARENTS) implantou arquivos contendo arquivos de isca com tema ucraniano, juntamente com cargas maliciosas LNK projetadas para obter componentes adicionais.
- O grupo Gamaredon (também conhecido como CARPATHIAN) tinha como alvo entidades governamentais ucranianas usando arquivos RAR que, em uma primeira etapa, distribuíam programas para download de aplicativos HTML (HTA).
- O grupo Turla (também conhecido como SUMMIT) explorou essa falha para distribuir o framework de malware STOCKSTAY, utilizando temas de engenharia social ligados a atividades militares ucranianas e atividades relacionadas a drones.
Em paralelo, um agente de ameaças baseado na China explorou a mesma vulnerabilidade para instalar o Poison Ivy, distribuído por meio de um script em lote colocado na pasta de inicialização do Windows e configurado para recuperar um dropper secundário.
Campanhas com motivação financeira e segmentação comercial
Grupos de cibercriminosos rapidamente se aproveitaram da vulnerabilidade para implantar trojans de acesso remoto (RATs) e ladrões de informações comuns contra vítimas comerciais. As cargas maliciosas observadas incluem backdoors controlados por bots do Telegram, bem como famílias de malware como AsyncRAT e XWorm.
Em uma campanha notável, um grupo de cibercriminosos conhecido por atacar usuários brasileiros distribuiu uma extensão maliciosa para o Chrome. Essa extensão injetava JavaScript nas páginas de dois sites de bancos brasileiros para exibir conteúdo de phishing e coletar credenciais de usuários, demonstrando a flexibilidade do acesso inicial obtido por meio da vulnerabilidade explorada pelo WinRAR.
Mercados clandestinos e a mercantilização das explorações
Acredita-se que a rápida e ampla adoção da vulnerabilidade CVE-2025-8088 seja resultado de uma próspera economia clandestina de exploração de vulnerabilidades. Exploits para WinRAR foram anunciados por milhares de dólares, reduzindo a barreira de entrada para uma ampla gama de agentes maliciosos. Um fornecedor que operava sob o pseudônimo de 'zeroplayer' comercializou um exploit para WinRAR nas semanas que antecederam a divulgação pública da CVE-2025-8088.
O papel contínuo da Zeroplayer como fornecedora upstream ilustra a comoditização do ciclo de vida de ataques, em que recursos de exploração prontos para uso reduzem os custos de desenvolvimento e permitem que grupos com motivações variadas realizem operações sofisticadas.
Um padrão mais amplo: falhas adicionais do WinRAR sob ataque.
Essa atividade coincide com tentativas de exploração de outra vulnerabilidade do WinRAR, CVE-2025-6218 (pontuação CVSS: 7,8). Vários agentes de ameaças, incluindo GOFFEE, Bitter e Gamaredon, foram observados explorando essa falha distinta, reforçando a ameaça contínua representada por vulnerabilidades de "n-day" e a velocidade com que os adversários operacionalizam novas vulnerabilidades divulgadas.
Implicações estratégicas para defensores
O uso contínuo e abusivo de vulnerabilidades corrigidas no WinRAR ressalta a importância do gerenciamento oportuno de patches, do treinamento de conscientização do usuário e do monitoramento de mecanismos de persistência, como arquivos não autorizados em diretórios de inicialização. A convergência da exploração patrocinada por estados e por criminosos demonstra ainda mais a rapidez com que vulnerabilidades críticas se tornam recursos compartilhados em todo o cenário de ameaças.
