Redazione RHC : 12 agosto 2025 15:45
Como era de esperar, el infame fallo de WinRAR está siendo explotado activamente por atacantes a gran escala, dado el amplio uso y popularidad del software.
Los expertos de ESET han informado que la vulnerabilidad de WinRAR, recientemente parcheada (CVE-2025-8088), se utilizó como exploit de día cero en ataques de phishing y para instalar el malware RomCom.
La vulnerabilidad estaba relacionada con el recorrido de directorios y se solucionó a finales de julio con el lanzamiento de la versión 7.13 de WinRAR. El problema permitía el uso de archivos comprimidos especialmente diseñados y la descompresión de archivos a lo largo de una ruta especificada por los atacantes.
«Al descomprimir un archivo, las versiones anteriores de WinRAR, las versiones de RAR para Windows, UnRAR, el código fuente portátil de UnRAR y la biblioteca UnRAR.dll podían usar la ruta a un archivo comprimido especialmente diseñado en lugar de la especificada por el usuario.», los desarrolladores del archivador explicaron. Las versiones Unix de RAR, UnRAR, el código fuente portátil de UnRAR y la biblioteca UnRAR, así como RAR para Android, no eran vulnerables.
Por lo tanto, al explotar este fallo, los atacantes podrían crear archivos que descomprimen archivos ejecutables maliciosos en la carpeta de inicio de Windows, ubicada en:
Tras el siguiente acceso, este archivo se ejecuta automáticamente, lo que permite al atacante ejecutar código en el host remoto.
Este problema fue descubierto por los expertos de ESET en julio de 2025, y ahora informan que, incluso antes del lanzamiento del parche, CVE-2025-8088 se utilizó en los ataques como una vulnerabilidad de día cero.
Según los investigadores, la vulnerabilidad se explotó en ataques de phishing dirigidos a propagar malware del grupo de hackers RomCom (también conocido como Storm-0978, Tropical Scorpius y UNC2596), incluyendo variantes de SnipBot, RustyClaw y Mythic.
Según se informa, la campaña se dirigió a empresas financieras, manufactureras, de defensa y logística de Canadá y Europa.
El grupo RomCom se ha vinculado anteriormente a ataques de ransomware, robo de datos a cambio de un rescate y campañas de robo de credenciales. RomCom es conocido por explotar vulnerabilidades de día cero y usar malware personalizado para robar datos y persistir en los sistemas.
ESET señala que la misma vulnerabilidad fue explotada recientemente por otro atacante, descubierto independientemente por la empresa rusa BI.ZONE. Además, el segundo atacante comenzó a explotar la vulnerabilidad CVE-2025-8088 unos días después de RomCom.
RedazioneGoogle ha presentado una nueva herramienta de IA para Drive para escritorio. Se dice que el modelo se ha entrenado con millones de muestras reales de ransomware y puede suspender la sincronización pa...
Expertos de Palo Alto Networks han identificado un nuevo grupo de hackers vinculado al Partido Comunista Chino. Unit 42, la división de inteligencia de amenazas de la compañía con sede en Californi...
Los sistemas de Inteligencia Artificial Generativa (GenAI) están revolucionando la forma en que interactuamos con la tecnología, ofreciendo capacidades extraordinarias en la creación de texto, imá...
La Agencia de Seguridad de Infraestructura y Ciberseguridad de Estados Unidos (CISA) ha añadido una vulnerabilidad crítica en la popular utilidad Sudo, utilizada en sistemas Linux y similares a Unix...
El Departamento de Justicia de EE. UU. recibió autorización judicial para realizar una inspección remota de los servidores de Telegram como parte de una investigación sobre explotación infantil. ...
