Día cero de WinRAR explotado para plantar malware en la extracción de archivos

Iniciado por AXCESS, Agosto 09, 2025, 05:58:21 AM

Tema anterior - Siguiente tema

0 Miembros y 1 Visitante están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Agosto 09, 2025, 05:58:21 AM


Una vulnerabilidad de WinRAR recientemente corregida, identificada como CVE-2025-8088, se explotó como vulnerabilidad de día cero en ataques de phishing para instalar el malware RomCom.

La falla es una vulnerabilidad de recorrido de directorio corregida en WinRAR 7.13, que permite que archivos comprimidos especialmente diseñados extraigan archivos en una ruta seleccionada por el atacante.

"Al extraer un archivo, se puede engañar a versiones anteriores de WinRAR, versiones de RAR para Windows, UnRAR, el código fuente portátil de UnRAR y UnRAR.dll para que usen una ruta definida en un archivo comprimido especialmente diseñado, en lugar de la ruta especificada por el usuario", indica el registro de cambios de WinRAR 7.13.

"Las versiones Unix de RAR, UnRAR, el código fuente portátil de UnRAR y la biblioteca UnRAR, así como RAR para Android, no se ven afectadas".

Aprovechando esta vulnerabilidad, los atacantes pueden crear archivos que extraen ejecutables en rutas de ejecución automática, como la carpeta de inicio de Windows ubicada en:

%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local para el usuario)

%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (A nivel de equipo)

La próxima vez que un usuario inicie sesión, el ejecutable se ejecutará automáticamente, lo que permite al atacante ejecutar código de forma remota.

Dado que WinRAR no incluye una función de actualización automática, se recomienda encarecidamente a todos los usuarios que descarguen e instalen manualmente la última versión desde You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login para protegerse de esta vulnerabilidad.
Explotada como vulnerabilidad de día cero en ataques

La falla fue descubierta por Anton Cherepanov, Peter Košinár y Peter Strýček de ESET. Strýček declaró que se explotaba activamente en ataques de phishing para instalar malware.

"ESET ha observado correos electrónicos de phishing selectivo con archivos RAR adjuntos", declaró Strýček.

Estos archivos comprimidos explotaban la vulnerabilidad CVE-2025-8088 para distribuir puertas traseras RomCom. RomCom es un grupo alineado con Rusia.

RomCom (también conocido como Storm-0978, Tropical Scorpius o UNC2596) es un grupo de hackers ruso vinculado a ransomware y ataques de extorsión para robo de datos, así como a campañas centradas en el robo de credenciales.

El grupo es conocido por el uso de vulnerabilidades de día cero en sus ataques y por el uso de malware personalizado para el robo de datos, la persistencia y la función de puertas traseras.

RomCom ha sido vinculado previamente a numerosas operaciones de ransomware, como Cuba e Industrial Spy.

ESET está trabajando en un informe sobre la explotación, que se publicará próximamente.

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario