Redazione RHC : 12 agosto 2025 15:45
Como era de esperar, el infame fallo de WinRAR está siendo explotado activamente por atacantes a gran escala, dado el amplio uso y popularidad del software.
Los expertos de ESET han informado que la vulnerabilidad de WinRAR, recientemente parcheada (CVE-2025-8088), se utilizó como exploit de día cero en ataques de phishing y para instalar el malware RomCom.
La vulnerabilidad estaba relacionada con el recorrido de directorios y se solucionó a finales de julio con el lanzamiento de la versión 7.13 de WinRAR. El problema permitía el uso de archivos comprimidos especialmente diseñados y la descompresión de archivos a lo largo de una ruta especificada por los atacantes.
«Al descomprimir un archivo, las versiones anteriores de WinRAR, las versiones de RAR para Windows, UnRAR, el código fuente portátil de UnRAR y la biblioteca UnRAR.dll podían usar la ruta a un archivo comprimido especialmente diseñado en lugar de la especificada por el usuario.», los desarrolladores del archivador explicaron. Las versiones Unix de RAR, UnRAR, el código fuente portátil de UnRAR y la biblioteca UnRAR, así como RAR para Android, no eran vulnerables.
Por lo tanto, al explotar este fallo, los atacantes podrían crear archivos que descomprimen archivos ejecutables maliciosos en la carpeta de inicio de Windows, ubicada en:
Tras el siguiente acceso, este archivo se ejecuta automáticamente, lo que permite al atacante ejecutar código en el host remoto.
Este problema fue descubierto por los expertos de ESET en julio de 2025, y ahora informan que, incluso antes del lanzamiento del parche, CVE-2025-8088 se utilizó en los ataques como una vulnerabilidad de día cero.
Según los investigadores, la vulnerabilidad se explotó en ataques de phishing dirigidos a propagar malware del grupo de hackers RomCom (también conocido como Storm-0978, Tropical Scorpius y UNC2596), incluyendo variantes de SnipBot, RustyClaw y Mythic.
Según se informa, la campaña se dirigió a empresas financieras, manufactureras, de defensa y logística de Canadá y Europa.
El grupo RomCom se ha vinculado anteriormente a ataques de ransomware, robo de datos a cambio de un rescate y campañas de robo de credenciales. RomCom es conocido por explotar vulnerabilidades de día cero y usar malware personalizado para robar datos y persistir en los sistemas.
ESET señala que la misma vulnerabilidad fue explotada recientemente por otro atacante, descubierto independientemente por la empresa rusa BI.ZONE. Además, el segundo atacante comenzó a explotar la vulnerabilidad CVE-2025-8088 unos días después de RomCom.
RedazioneEl equipo de Darklab, la comunidad de expertos en inteligencia de amenazas de Red Hot Cyber, ha identificado un anuncio en el mercado de la dark web «Tor Amazon», la contraparte criminal del popular...
La Conferencia Red Hot Cyber se ha convertido en un evento habitual para la comunidad Red Hot Cyber y para cualquier persona que trabaje o esté interesada en el mundo de las tecnologías digitales y ...
El lanzamiento de Hexstrike-AI marca un punto de inflexión en el panorama de la ciberseguridad. El framework, considerado una herramienta de última generación para equipos rojos e investigadores, e...
LockBit representa una de las bandas de ransomware más longevas y mejor estructuradas de los últimos años, con un modelo de ransomware como servicio (RaaS) que ha impactado profundamente el ecosist...
El 31 de agosto de 2025, el vuelo AAB53G, operado por un Dassault Falcon 900LX con matrícula OO-GPE y con la presidenta de la Comisión Europea, Ursula von der Leyen, despegó de Varsovia y aterrizó...
