Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Hai fatto doppio click su WinRAR? Congratulazioni! Sei stato compromesso

Redazione RHC : 9 Agosto 2025 14:48

Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Directory Traversal ed è stato risolto solo in WinRAR 7.13. il bug permetteva agli aggressori di creare archivi speciali che, una volta decompressi, finivano in una directory specificata dall’aggressore, anziché nella cartella selezionata dall’utente. Questo meccanismo permetteva di aggirare le restrizioni standard e di iniettare codice dannoso in directory critiche di Windows.

A differenza dello scenario usuale, quando la decompressione porta a una posizione predefinita, la vulnerabilità ha permesso di sostituire il percorso per reindirizzare il contenuto alle cartelle di avvio del sistema operativo. Tra queste directory vi sono la cartella di avvio di un utente specifico (%APPDATA%MicrosoftWindowsStart MenuProgramsStartup) e la cartella di avvio del sistema per tutti gli account (%ProgramData%MicrosoftWindowsStart MenuProgramsStartUp). Al successivo accesso al sistema, qualsiasi file eseguibile inserito tramite la vulnerabilità veniva avviato automaticamente, il che di fatto ha dato all’aggressore la possibilità di eseguire codice da remoto senza l’intervento della vittima.

Il problema riguardava solo le edizioni Windows di WinRAR, RAR, UnRAR, le loro versioni portatili e la libreria UnRAR.dll. Le varianti per piattaforme Unix, Android e i relativi codici sorgente non presentavano questa vulnerabilità.


PARTE LA PROMO ESTATE -40%

RedHotCyber Academy lancia una promozione esclusiva e a tempo limitato per chi vuole investire nella propria crescita professionale nel mondo della tecnologia e della cybersecurity!

Approfitta del 40% di sconto sull’acquisto congiunto di 3 corsi da te scelti dalla nostra Academy. Ad esempio potresti fare un percorso formativo includendo Cyber Threat intelligence + NIS2 + Criptovalute con lo sconto del 40%. Tutto questo lo potrai fruire, dove e quando vuoi e con la massima flessibilità, grazie a lezioni di massimo 30 minuti ciascuna.

Contattaci tramite WhatsApp al 375 593 1011 per richiedere ulteriori informazioni oppure scriviti alla casella di posta [email protected]


Supporta RHC attraverso:
  • L'acquisto del fumetto sul Cybersecurity Awareness
  • Ascoltando i nostri Podcast
  • Seguendo RHC su WhatsApp
  • Seguendo RHC su Telegram
  • Scarica gratuitamente "Dark Mirror", il report sul ransomware di Dark Lab


  • Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.


    La situazione era resa particolarmente pericolosa dal fatto che WinRAR non dispone di una funzione di aggiornamento automatico. Gli utenti che non monitoravano il rilascio di nuove versioni potevano rimanere sotto attacco per mesi senza accorgersene. Gli sviluppatori raccomandano vivamente di scaricare e installare manualmente WinRAR 7.13 dal sito web ufficiale win-rar.com per eliminare la possibilità di sfruttare questo errore.

    La vulnerabilità è stata identificata dagli specialisti di ESET Anton Cherepanov, Peter Koszynar e Peter Stricek. Quest’ultimo ha confermato che è stata utilizzata in vere e proprie campagne di phishing per installare il malware RomCom. Gli attacchi consistevano nell’invio di e-mail con allegati archivi RAR contenenti l’exploit CVE-2025-8088.

    RomCom è un gruppo noto anche come Storm-0978, Tropical Scorpius o UNC2596. È specializzato in attacchi ransomware, furto di dati, estorsione e furto di credenziali. Utilizza un malware proprietario per persistere nel sistema, rubare informazioni e creare backdoor che forniscono accesso segreto ai dispositivi infetti.

    Il gruppo è noto per il suo ampio utilizzo di vulnerabilità zero-day negli attacchi e ha collaborato con altre operazioni ransomware, tra cui Cuba e Industrial Spy. L’attuale campagna che sfrutta una vulnerabilità in WinRAR è solo l’ultimo esempio di come RomCom combini sofisticate tecniche di hacking con l’ingegneria sociale per aggirare le difese e penetrare nelle reti aziendali.

    ESET sta già preparando un rapporto dettagliato sull’incidente, che descriverà nei dettagli i metodi di sfruttamento e i dettagli tecnici degli attacchi identificati.

    Redazione
    La redazione di Red Hot Cyber è composta da un insieme di persone fisiche e fonti anonime che collaborano attivamente fornendo informazioni in anteprima e news sulla sicurezza informatica e sull'informatica in generale.

    Lista degli articoli

    Articoli in evidenza

    Hai fatto doppio click su WinRAR? Congratulazioni! Sei stato compromesso
    Di Redazione RHC - 09/08/2025

    Una vulnerabilità di WinRAR recentemente chiusa monitorata con il codice CVE-2025-8088 è stata sfruttata in attacchi di phishing mirati prima del rilascio della patch. Il problema era un Dir...

    Satelliti Sotto il controllo degli Hacker: “è più semplice hackerarli che usare armi satellitari”
    Di Redazione RHC - 09/08/2025

    Alla conferenza Black Hat di Las Vegas, VisionSpace Technologies ha dimostrato che è molto più facile ed economico disattivare un satellite o modificarne la traiettoria rispetto all’u...

    HTTP/1.1 Must Die! Falle critiche mettono milioni di siti web a rischio
    Di Redazione RHC - 08/08/2025

    Una falla di sicurezza cruciale nell’HTTP/1.1 è stata resa pubblica dagli esperti di sicurezza, mettendo in luce una minaccia che continua ad impattare sull’infrastruttura web da pi...

    Scempio Digitale: Instagram della Fondazione Giulia Cecchettin, la ragazza uccisa dall’ex fidanzato è stato hackerato
    Di Redazione RHC - 08/08/2025

    Il cybercrime è sempre da condannare. Che tu colpisca una multinazionale o un piccolo negozio online, resta un crimine. Ma quando prendi di mira ospedali, associazioni senza scopo di lucro, fonda...

    Il nuovo firmware del Flipper Zero made in DarkWeb, diventa la chiave per ogni auto
    Di Redazione RHC - 08/08/2025

    Un nuovo firmware personalizzato per il dispositivo multiuso Flipper Zero, è capace di eludere molti dei sistemi di sicurezza con codice variabile, implementati nella maggioranza dei veicoli di u...