Falha no WinRAR para Windows é explorada por diversos grupos hackers
Por Jaqueline Sousa • Editado por Jones Oliveira |
Uma falha de segurança no WinRAR, ferramenta usada para compactar e extrair arquivos, está sendo ativamente explorada por grupos de cibercriminosos. O alerta foi feito pela Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA) e afeta dispositivos com Windows.
- Microsoft "corrige" falha grave em arquivos de atalho do Windows
- Atualize o WinRAR agora: falha grave deixa hackers controlarem seu PC
Identificada como CVE-2025-6218, a vulnerabilidade é um ataque do tipo travessia de diretório que permite a execução de códigos a partir da inserção de caracteres maliciosos que enganam o sistema operacional para acessar recursos restritos. O diferencial desse ataque é que, para a exploração da falha se concretizar, é preciso que a vítima visite uma página ou arquivo comprometidos para ativá-la.
A vulnerabilidade foi corrigida primeiramente pela RARLAB em junho com a divulgação de uma atualização da plataforma, mas relatórios de empresas de cibersegurança identificaram, por enquanto, que três grupos hackers diferentes chamados GOFFEE, Bitter e Gamaredon estão promovendo ações maliciosas constantes com a falha.
Exploração múltipla
De acordo com a RARLAB, inicialmente, a vulnerabilidade de travessia de diretório era usada para implementar arquivos em locais sensíveis, como a pasta de “Iniciar” do Windows. Isso permitia que códigos maliciosos fossem executados no momento de login no sistema, por exemplo.
Apesar da correção, uma análise datada de agosto identificou que o GOFFEE explorava a falha em conjunto com outro problema operacional do WinRAR, promovendo ataques direcionados a organizações usando e-mails de phishing.
Já o Bitter conseguiu dar outra cara para os ataques, explorando o CVE-2025-6218 a partir da instalação de um trojan. Para enganar as vítimas, o grupo espalhava um arquivo RAR que continha um documento do Word legítimo e um template malicioso.
O Gamaredon, por sua vez, também apostou nas campanhas de phishing, mas mirando organizações militares e governamentais da Ucrânia. O objetivo era infectar sistemas com um malware para ciberespionagem, com ações observadas em novembro.
Até o momento, o RARLAB não se manifestou acerca das ocorrências, mas espera-se que agências governamentais passem a aplicar medidas de segurança mais robustas para evitar danos vindos dessas explorações múltiplas.
Leia também:
- Como recuperar e abrir arquivos RAR corrompidos
- Ataque usa página falsa do WinRAR para instalar vírus e roubar dados
- Falha grave no WinRAR permitia ataques remotos ao abrir arquivos
Fonte: The Hacker News