Uma vulnerabilidade crítica no WinRAR identificada como CVE-2025-8088 está sendo explorada por grupos cibercriminosos para instalar backdoors em computadores após a abertura de arquivos RAR maliciosos distribuídos em campanhas de phishing.
A falha no WinRAR, descoberta por pesquisadores da empresa de segurança cibernética ESET, permite “path traversal” durante a extração de arquivos e, na prática, possibilita que um invasor introduza arquivos em pastas sensíveis do Windows, incluindo diretórios de inicialização, abrindo caminho para execução de código e persistência no sistema e infectando a máquina.
Segundo os relatórios, o arquivo molicioso é chamado de “RomCom”, e também é bastante conhecido como Storm-0978/Void Rabisu. Os criminosos utilizam arquivos RAR disfarçados de documentos legítimos para enganar vítimas e liberam o malware RomCom, um RAT (Remote Access Trojan).
A atribuição múltipla foi confirmada pela ESET e por análises independentes, indicando tanto operações com motivação financeira quanto espionagem mirando empresas na Europa, América do Norte e também alvos na Rússia.
O Ars Technica relata que a exploração ocorreu por “várias semanas” antes da correção, o que reforça o potencial de impacto em ambientes corporativos que ainda não padronizaram a atualização.
Baixe a correção imediatamente
Se você utiliza o WinRAR, há uma correção disponível e ela não é automática. A RARLAB, desenvolvedora do programa, publicou o WinRAR 7.13, que elimina a vulnerabilidade. Como o WinRAR não atualiza sozinho, o usuário precisa baixar e instalar manualmente a nova versão.
Além do aplicativo principal, componentes associados como UnRAR.dll, utilitários de linha de comando para Windows e o código-fonte portátil do UnRAR usado por terceiros também devem ser atualizados pelos fornecedores que os integram. Versões para Unix e Android não são afetadas.
Para quem administra ambientes corporativos, a orientação é dupla: correção imediata. Isso significa bloquear anexos RAR em gateways de e-mail enquanto perdurar o risco, isolar processos de descompressão em sandboxes, reforçar filtros contra phishing e monitorar comportamento de extração anômalo (p. ex., escrita em diretórios de inicialização ou uso de Alternate Data Streams, técnica citada nas análises).
Fornecedores de EDR e plataformas de detecção já publicaram regras específicas para identificar o abuso da CVE-2025-8088.
Leia mais:
