Grupos de hackers ligados à Rússia estão explorando uma vulnerabilidade crítica de dia zero no popular utilitário de compactação de arquivos Winrar, colocando milhões de usuários em risco. A falha, identificada como CVE-2025-8088, permite que os atacantes executem código malicioso no sistema de um alvo quando abrem um arquivo de arquivo especialmente criado. href=”https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-Zero-dy-vulnerability/”Target=”_ Blank”> atribuindo-os ao grupo cibercrimoso Romcom . WinRAR’s developer has since released Versão 7.13 para corrigir a vulnerabilidade . No entanto, o aplicativo não atualiza automaticamente, exigindo que os usuários instalem manualmente a correção. A falta de um recurso de atualização automática em Winrar amplia significativamente a janela de oportunidade para os atores de ameaças terem sucesso com suas campanhas de phishing. Active Exploitation
The vulnerability was first detected in the wild by ESET researchers on July 18, 2025, who observed Atividade de arquivo incomum apontando para uma nova exploração . Depois de confirmar o comportamento, eles divulgaram responsavelmente a falha aos desenvolvedores de Winrar em 24 de julho, um movimento que provocou uma resposta rápida.
Apenas seis dias depois, em 30 de julho, uma versão corrigida foi emitida. A falha agora é oficialmente rastreado no banco de dados nacional de vulnerabilidades como CVE-2015-8088 . Sua descoberta continua uma tendência preocupante de questões de segurança no arquiver de arquivo onipresente, que continua sendo um alvo de alto valor para os cibercriminosos. Essa classe de falha permite que um invasor escreva arquivos em locais arbitrários no computador de uma vítima, ignorando as restrições de segurança padrão. O ataque começa com um email de phishing contendo um arquivo de arquivo malicioso. O alvo principal é o diretório de inicialização do Windows, um local que garante que os programas sejam executados automaticamente no login. Depois que o malware é plantado na pasta de inicialização, ele será executado automaticamente na próxima vez que o usuário faz login no Windows, levando à execução remota do código e dando ao controle do atacante. Este grupo tem um histórico de alavancar zero dias para implantar backdoors personalizados e roubar dados. Segundo o pesquisador Peter Strýček, “esses arquivos exploraram o CVE-2025-8088 para entregar backdoors da ROMCOM. Romcom é um grupo alinhado pela Rússia.”
A sofisticação do grupo é notável. A análise da ESET afirma:”Ao explorar uma vulnerabilidade de dias zero anteriormente desconhecida em Winrar, o Romcom Group mostrou que está disposto a investir esforços e recursos sérios em suas ciberesoperações”. Perturbador, Romcom não está sozinho. A empresa de segurança russa Bi.Zone informou que um segundo grupo, conhecido como lobisomem ou Goffee, também foi encontrado explorando a CVE-2025-8088 em suas próprias campanhas. A ferramenta tem um histórico de vulnerabilidades críticas que foram ativamente exploradas na natureza. Em 2023, outra falha, CVE-2023-38831, foi usada por hackers apoiados pelo estado da Rússia e da China. Esses incidentes repetidos servem como um lembrete gritante dos riscos associados ao software que não é atualizado de forma consistente.
O núcleo do problema é a taxa lenta das atualizações manuais. Como o grupo de análise de ameaças do Google comentou anteriormente sobre o Winrar explora:”… a exploração em andamento […] destaca que explorações para vulnerabilidades conhecidas podem ser altamente eficazes”, à medida que os invasores usam taxas de remendos lentos em sua vantagem”. Os invasores entendem esse comportamento do usuário e criam campanhas em torno dele, sabendo que um grande conjunto de metas vulneráveis persistirá por meses. Todos os usuários são fortemente aconselhados a baixar e instalar o Winrar 7.13 ou mais recente imediatamente.