Redazione RHC : 9 agosto 2025 14:49
Una vulnerabilidad de WinRAR, recientemente cerrada y clasificada como CVE-2025-8088, se explotó en ataques de phishing dirigidos antes del lanzamiento del parche. El problema involucraba un salto de directorio y solo se solucionó en WinRAR 7.13. El error permitía a los atacantes crear archivos especiales que, al descomprimirse, terminaban en un directorio especificado por el atacante, en lugar de la carpeta seleccionada por el usuario. Este mecanismo permitía eludir las restricciones estándar e inyectar código malicioso en directorios críticos de Windows.
A diferencia de lo habitual, cuando la descompresión redirige a una ubicación predeterminada, la vulnerabilidad permitía sobrescribir la ruta para redirigir el contenido a las carpetas de inicio del sistema operativo. Estos directorios incluyen la carpeta de inicio de un usuario específico (%APPDATA%MicrosoftWindowsStartMenuProgramsStartup) y la carpeta de inicio del sistema para todas las cuentas (%ProgramData%MicrosoftWindowsStartMenuProgramsStartUp). La siguiente vez que se iniciaba sesión en el sistema, cualquier archivo ejecutable inyectado a través de la vulnerabilidad se ejecutaba automáticamente, lo que permitía al atacante ejecutar código de forma remota sin la intervención de la víctima.
El problema afectaba solo a las ediciones para Windows de WinRAR, RAR y UnRAR, sus versiones portables y la biblioteca UnRAR.dll. Las variantes para plataformas Unix y Android, y su código fuente, no se vieron afectadas por esta vulnerabilidad.
La situación era particularmente peligrosa porque WinRAR no cuenta con una función de actualización automática. Los usuarios que no supervisaban el lanzamiento de nuevas versiones podían estar bajo ataque durante meses sin darse cuenta. Los desarrolladores recomiendan encarecidamente descargar e instalar manualmente WinRAR 7.13 desde el sitio web oficial win-rar.com para evitar la posibilidad de explotar este error. La vulnerabilidad fue identificada por los especialistas de ESET Anton Cherepanov, Peter Koszynar y Peter Stricek. Este último confirmó que se utilizó en campañas de phishing para instalar el malware RomCom. Los ataques consistieron en el envío de correos electrónicos con archivos RAR adjuntos que contenían el exploit CVE-2025-8088.
RomCom es un grupo también conocido como Storm-0978, Tropical Scorpius o UNC2596. Se especializa en ataques de ransomware, robo de datos, extorsión y robo de credenciales. Utiliza malware propietario para persistir en el sistema, robar información y crear puertas traseras que proporcionan acceso encubierto a los dispositivos infectados.
El grupo es conocido por su uso extensivo de vulnerabilidades de día cero en ataques y ha colaborado con otras operaciones de ransomware, como Cuba e Industrial Spy. La campaña actual, que explota una vulnerabilidad en WinRAR, es solo el último ejemplo de cómo RomCom combina sofisticadas técnicas de hacking con ingeniería social para eludir las defensas y penetrar en las redes corporativas.
ESET ya está preparando un informe detallado del incidente, que detallará los métodos de explotación y los detalles técnicos de los ataques identificados.
RedazioneCloudflare ha anunciado que gestionó de forma independiente un ataque de denegación de servicio distribuido (DDoS) sin precedentes, el más grande jamás visto. El ataque hipervolumétrico alcanzó ...
Los piratas informáticos apuntan cada vez más a las copias de seguridad: no a los sistemas o servidores, sino a los datos que las empresas conservan durante un período de tiempo limitado para poder...
Dos jóvenes involucrados en el grupo Araña Dispersa han sido acusados como parte de la investigación de la Agencia Nacional contra el Crimen sobre un ciberataque a Transport for London (TfL). El 31...
Ya habíamos debatido la propuesta de regulación «ChatControl» hace casi dos años, pero dada la hoja de ruta en curso, nos avergüenza tener que volver a debatirla. Parece un déjà vu, pero en lu...
En un drástico cambio de rumbo, Nepal ha levantado el bloqueo nacional de las redes sociales impuesto la semana pasada después de que provocara protestas masivas de jóvenes y causara al menos 19 mu...
