Una vulnerabilidad de WinRAR, corregida recientemente y identificada como CVE-2025-8088, se está explotando como vulnerabilidad Zero-Day en ataques de phishing para instalar el malware RomCom.
La falla es una vulnerabilidad de recorrido de directorio corregida en WinRAR 7.13, que permite que archivos comprimidos especialmente diseñados extraigan archivos en una ruta seleccionada por el atacante.
"Al extraer un archivo, se puede engañar a versiones anteriores de WinRAR y RAR para Windows, para que usen una ruta definida en un archivo comprimido especialmente diseñado, en lugar de la ruta especificada por el usuario", indica el registro de cambios de WinRAR 7.13. "Las versiones Unix de RAR, UnRAR, el código fuente portátil de UnRAR y la biblioteca UnRAR, así como RAR para Android, no se ven afectadas".
Aprovechando esta vulnerabilidad, los atacantes pueden crear archivos comprimidos que extraen ejecutables en rutas de ejecución automática, como la carpeta de inicio de Windows ubicada en:
%APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup (Local para el
usuario)
%ProgramData%\Microsoft\Windows\Start Menu\Programs\StartUp (A nivel de
equipo)
La próxima vez que un usuario inicie sesión, el ejecutable se ejecutará automáticamente, lo que permite al atacante ejecutar código remoto.
Dado que WinRAR no incluye una función de actualización automática, se recomienda encarecidamente a todos los usuarios que descarguen e instalen manualmente la última versión desde win-rar.com para protegerse de esta vulnerabilidad.
La falla fue descubierta por Anton Cherepanov, Peter Košinár y Peter Strýček de ESET. Strýček declaró a BleepingComputer que se explotaba activamente en ataques de phishing para instalar malware. "ESET ha detectado correos electrónicos de phishing selectivo con archivos adjuntos que contienen archivos RAR", declaró Strýček a BleepingComputer.
Estos archivos explotaron la vulnerabilidad CVE-2025-8088 para distribuir puertas traseras RomCom, un grupo aliado de Rusia. También conocido como Storm-0978, Tropical Scorpius o UNC2596 es un grupo de hackers ruso vinculado a ransomware y ataques de extorsión para robo de datos, así como a campañas centradas en el robo de credenciales.
El grupo es conocido por el uso de vulnerabilidades de día cero en sus ataques y por el uso de malware personalizado para ataques de robo de datos, persistencia y para actuar como puertas traseras.
RomCom ha sido vinculado previamente a numerosas operaciones de ransomware, como Cuba e Industrial Spy.
Fuente: BC