Redazione RHC : 12 agosto 2025 15:45
Como era de esperar, el infame fallo de WinRAR está siendo explotado activamente por atacantes a gran escala, dado el amplio uso y popularidad del software.
Los expertos de ESET han informado que la vulnerabilidad de WinRAR, recientemente parcheada (CVE-2025-8088), se utilizó como exploit de día cero en ataques de phishing y para instalar el malware RomCom.
La vulnerabilidad estaba relacionada con el recorrido de directorios y se solucionó a finales de julio con el lanzamiento de la versión 7.13 de WinRAR. El problema permitía el uso de archivos comprimidos especialmente diseñados y la descompresión de archivos a lo largo de una ruta especificada por los atacantes.
«Al descomprimir un archivo, las versiones anteriores de WinRAR, las versiones de RAR para Windows, UnRAR, el código fuente portátil de UnRAR y la biblioteca UnRAR.dll podían usar la ruta a un archivo comprimido especialmente diseñado en lugar de la especificada por el usuario.», los desarrolladores del archivador explicaron. Las versiones Unix de RAR, UnRAR, el código fuente portátil de UnRAR y la biblioteca UnRAR, así como RAR para Android, no eran vulnerables.
Por lo tanto, al explotar este fallo, los atacantes podrían crear archivos que descomprimen archivos ejecutables maliciosos en la carpeta de inicio de Windows, ubicada en:
Tras el siguiente acceso, este archivo se ejecuta automáticamente, lo que permite al atacante ejecutar código en el host remoto.
Este problema fue descubierto por los expertos de ESET en julio de 2025, y ahora informan que, incluso antes del lanzamiento del parche, CVE-2025-8088 se utilizó en los ataques como una vulnerabilidad de día cero.
Según los investigadores, la vulnerabilidad se explotó en ataques de phishing dirigidos a propagar malware del grupo de hackers RomCom (también conocido como Storm-0978, Tropical Scorpius y UNC2596), incluyendo variantes de SnipBot, RustyClaw y Mythic.
Según se informa, la campaña se dirigió a empresas financieras, manufactureras, de defensa y logística de Canadá y Europa.
El grupo RomCom se ha vinculado anteriormente a ataques de ransomware, robo de datos a cambio de un rescate y campañas de robo de credenciales. RomCom es conocido por explotar vulnerabilidades de día cero y usar malware personalizado para robar datos y persistir en los sistemas.
ESET señala que la misma vulnerabilidad fue explotada recientemente por otro atacante, descubierto independientemente por la empresa rusa BI.ZONE. Además, el segundo atacante comenzó a explotar la vulnerabilidad CVE-2025-8088 unos días después de RomCom.
Redazione«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
Expertos en seguridad han revelado una falla crítica de seguridad en HTTP/1.1, lo que pone de relieve una amenaza que ha seguido afectando a la infraestructura web durante más de seis añ...
Un descubrimiento reciente ha revelado una sofisticada técnica que elude el Control de Cuentas de Usuario (UAC) de Windows, lo que permite la escalada de privilegios sin la intervención del ...
En los últimos meses, el debate sobre la inteligencia artificial ha adquirido tintes cada vez más extremos. Por un lado, las grandes empresas que desarrollan y venden soluciones de IA est&#x...
Los sitios de filtración de datos (DLS) de bandas de ransomware representan una amenaza cada vez más extendida para las empresas y las personas que utilizan Internet. Estos sitios fueron cre...
