Redazione RHC : 9 agosto 2025 14:49
Una vulnerabilidad de WinRAR, recientemente cerrada y clasificada como CVE-2025-8088, se explotó en ataques de phishing dirigidos antes del lanzamiento del parche. El problema involucraba un salto de directorio y solo se solucionó en WinRAR 7.13. El error permitía a los atacantes crear archivos especiales que, al descomprimirse, terminaban en un directorio especificado por el atacante, en lugar de la carpeta seleccionada por el usuario. Este mecanismo permitía eludir las restricciones estándar e inyectar código malicioso en directorios críticos de Windows.
A diferencia de lo habitual, cuando la descompresión redirige a una ubicación predeterminada, la vulnerabilidad permitía sobrescribir la ruta para redirigir el contenido a las carpetas de inicio del sistema operativo. Estos directorios incluyen la carpeta de inicio de un usuario específico (%APPDATA%MicrosoftWindowsStartMenuProgramsStartup) y la carpeta de inicio del sistema para todas las cuentas (%ProgramData%MicrosoftWindowsStartMenuProgramsStartUp). La siguiente vez que se iniciaba sesión en el sistema, cualquier archivo ejecutable inyectado a través de la vulnerabilidad se ejecutaba automáticamente, lo que permitía al atacante ejecutar código de forma remota sin la intervención de la víctima.
El problema afectaba solo a las ediciones para Windows de WinRAR, RAR y UnRAR, sus versiones portables y la biblioteca UnRAR.dll. Las variantes para plataformas Unix y Android, y su código fuente, no se vieron afectadas por esta vulnerabilidad.
La situación era particularmente peligrosa porque WinRAR no cuenta con una función de actualización automática. Los usuarios que no supervisaban el lanzamiento de nuevas versiones podían estar bajo ataque durante meses sin darse cuenta. Los desarrolladores recomiendan encarecidamente descargar e instalar manualmente WinRAR 7.13 desde el sitio web oficial win-rar.com para evitar la posibilidad de explotar este error. La vulnerabilidad fue identificada por los especialistas de ESET Anton Cherepanov, Peter Koszynar y Peter Stricek. Este último confirmó que se utilizó en campañas de phishing para instalar el malware RomCom. Los ataques consistieron en el envío de correos electrónicos con archivos RAR adjuntos que contenían el exploit CVE-2025-8088.
RomCom es un grupo también conocido como Storm-0978, Tropical Scorpius o UNC2596. Se especializa en ataques de ransomware, robo de datos, extorsión y robo de credenciales. Utiliza malware propietario para persistir en el sistema, robar información y crear puertas traseras que proporcionan acceso encubierto a los dispositivos infectados.
El grupo es conocido por su uso extensivo de vulnerabilidades de día cero en ataques y ha colaborado con otras operaciones de ransomware, como Cuba e Industrial Spy. La campaña actual, que explota una vulnerabilidad en WinRAR, es solo el último ejemplo de cómo RomCom combina sofisticadas técnicas de hacking con ingeniería social para eludir las defensas y penetrar en las redes corporativas.
ESET ya está preparando un informe detallado del incidente, que detallará los métodos de explotación y los detalles técnicos de los ataques identificados.
Redazione«El sistema de defensa militar Skynet entrará en funcionamiento el 4 de agosto de 1997. Comenzará a autoeducarse, aprendiendo a un ritmo exponencial, y adquirirá consciencia de s&#...
Expertos en seguridad han revelado una falla crítica de seguridad en HTTP/1.1, lo que pone de relieve una amenaza que ha seguido afectando a la infraestructura web durante más de seis añ...
Un descubrimiento reciente ha revelado una sofisticada técnica que elude el Control de Cuentas de Usuario (UAC) de Windows, lo que permite la escalada de privilegios sin la intervención del ...
En los últimos meses, el debate sobre la inteligencia artificial ha adquirido tintes cada vez más extremos. Por un lado, las grandes empresas que desarrollan y venden soluciones de IA est&#x...
Los sitios de filtración de datos (DLS) de bandas de ransomware representan una amenaza cada vez más extendida para las empresas y las personas que utilizan Internet. Estos sitios fueron cre...
