Redazione RHC : 9 agosto 2025 14:49
Una vulnerabilidad de WinRAR, recientemente cerrada y clasificada como CVE-2025-8088, se explotó en ataques de phishing dirigidos antes del lanzamiento del parche. El problema involucraba un salto de directorio y solo se solucionó en WinRAR 7.13. El error permitía a los atacantes crear archivos especiales que, al descomprimirse, terminaban en un directorio especificado por el atacante, en lugar de la carpeta seleccionada por el usuario. Este mecanismo permitía eludir las restricciones estándar e inyectar código malicioso en directorios críticos de Windows.
A diferencia de lo habitual, cuando la descompresión redirige a una ubicación predeterminada, la vulnerabilidad permitía sobrescribir la ruta para redirigir el contenido a las carpetas de inicio del sistema operativo. Estos directorios incluyen la carpeta de inicio de un usuario específico (%APPDATA%MicrosoftWindowsStartMenuProgramsStartup) y la carpeta de inicio del sistema para todas las cuentas (%ProgramData%MicrosoftWindowsStartMenuProgramsStartUp). La siguiente vez que se iniciaba sesión en el sistema, cualquier archivo ejecutable inyectado a través de la vulnerabilidad se ejecutaba automáticamente, lo que permitía al atacante ejecutar código de forma remota sin la intervención de la víctima.
El problema afectaba solo a las ediciones para Windows de WinRAR, RAR y UnRAR, sus versiones portables y la biblioteca UnRAR.dll. Las variantes para plataformas Unix y Android, y su código fuente, no se vieron afectadas por esta vulnerabilidad.
La situación era particularmente peligrosa porque WinRAR no cuenta con una función de actualización automática. Los usuarios que no supervisaban el lanzamiento de nuevas versiones podían estar bajo ataque durante meses sin darse cuenta. Los desarrolladores recomiendan encarecidamente descargar e instalar manualmente WinRAR 7.13 desde el sitio web oficial win-rar.com para evitar la posibilidad de explotar este error. La vulnerabilidad fue identificada por los especialistas de ESET Anton Cherepanov, Peter Koszynar y Peter Stricek. Este último confirmó que se utilizó en campañas de phishing para instalar el malware RomCom. Los ataques consistieron en el envío de correos electrónicos con archivos RAR adjuntos que contenían el exploit CVE-2025-8088.
RomCom es un grupo también conocido como Storm-0978, Tropical Scorpius o UNC2596. Se especializa en ataques de ransomware, robo de datos, extorsión y robo de credenciales. Utiliza malware propietario para persistir en el sistema, robar información y crear puertas traseras que proporcionan acceso encubierto a los dispositivos infectados.
El grupo es conocido por su uso extensivo de vulnerabilidades de día cero en ataques y ha colaborado con otras operaciones de ransomware, como Cuba e Industrial Spy. La campaña actual, que explota una vulnerabilidad en WinRAR, es solo el último ejemplo de cómo RomCom combina sofisticadas técnicas de hacking con ingeniería social para eludir las defensas y penetrar en las redes corporativas.
ESET ya está preparando un informe detallado del incidente, que detallará los métodos de explotación y los detalles técnicos de los ataques identificados.
RedazioneReuters informó que Trump declaró a la prensa durante una entrevista pregrabada para el programa «60 Minutes» de CBS y a bordo del Air Force One durante el vuelo de regreso: «No vamos a permitir ...
Un informe de FortiGuard correspondiente al primer semestre de 2025 muestra que los atacantes motivados por intereses económicos están evitando cada vez más las vulnerabilidades y el malware sofist...
La primera computadora cuántica atómica de China ha alcanzado un importante hito comercial al registrar sus primeras ventas a clientes nacionales e internacionales, según medios estatales. El Hubei...
El director ejecutivo de NVIDIA, Jen-Hsun Huang, supervisa directamente a 36 empleados en siete áreas clave: estrategia, hardware, software, inteligencia artificial, relaciones públicas, redes y asi...
OpenAI ha presentado Aardvark, un asistente autónomo basado en el modelo GPT-5 , diseñado para encontrar y corregir automáticamente vulnerabilidades en el código de software. Esta herramienta de I...
