Google alerta para exploração ativa de falha crítica no WinRAR

O Google alertou que diversos hackers, incluindo grupos apoiados por Estados e grupos hackers com motivação financeira, estão explorando ativamente uma falha crítica no WinRAR, mesmo após a disponibilização de correção oficial. A vulnerabilidade, identificada como CVE-2025-8088 (CVSS 8,8), foi corrigida em julho de 2025, mas segue sendo usada em campanhas reais para obter acesso inicial e implantar diferentes tipos de malware.

Segundo o Google Threat Intelligence Group (GTIG), hackers ligados à Rússia e à China, além de grupos com foco financeiro, continuam explorando essa falha do tipo n-day em operações distintas. O método de ataque é consistente: trata-se de uma vulnerabilidade de path traversal que permite que arquivos maliciosos sejam extraídos diretamente para a pasta de inicialização do Windows, garantindo persistência automática sempre que o usuário reinicia o sistema e faz login.

A falha afeta versões vulneráveis do WinRAR e foi corrigida na versão 7.13, lançada em 30 de julho de 2025. A exploração ocorre por meio de arquivos RAR maliciosos, cuidadosamente criados para executar código arbitrário quando abertos pela vítima. Na prática, o usuário acredita estar acessando um arquivo legítimo, enquanto o malware é silenciosamente instalado.

A vulnerabilidade foi descoberta e reportada pela ESET, que observou um conhecido grupo hacker com atuação em espionagem e crimes financeiros explorando a falha como zero-day desde 18 de julho de 2025. Essa exploração foi usada para distribuir uma variante do malware SnipBot (NESTPACKER). O Google também acompanha atividades relacionadas a campanhas de ransomware Cuba, que utilizam ferramentas semelhantes.

Com o passar do tempo, a exploração da falha se tornou massiva. Cadeias de ataque passaram a esconder arquivos maliciosos como atalhos do Windows (LNK) dentro de fluxos alternativos de dados (ADS) em arquivos de isca, garantindo que o payload seja executado automaticamente após a reinicialização do sistema. Diversos hackers russos passaram a usar a técnica, explorando temas ligados à guerra na Ucrânia, órgãos governamentais e operações militares como iscas.

Além disso, o GTIG identificou um hacker baseado na China utilizando a CVE-2025-8088 para implantar o malware Poison Ivy, bem como grupos hackers financeiros adotando rapidamente a falha para distribuir RATs e ladrões de informação, como AsyncRAT e XWorm. Em alguns casos, foram detectados backdoors controlados via bots do Telegram.

Um dos pontos que mais chamou a atenção dos pesquisadores foi o impacto no Brasil. Um grupo hacker especializado em fraudes bancárias teria explorado a vulnerabilidade para distribuir uma extensão maliciosa do Google Chrome, capaz de injetar JavaScript em páginas de bancos brasileiros, com o objetivo de realizar phishing e roubo de credenciais.

De acordo com o Google, a ampla exploração da falha está diretamente ligada à economia clandestina de exploits, onde falhas no WinRAR chegaram a ser vendidas por milhares de dólares antes mesmo da divulgação pública. Um fornecedor conhecido como zeroplayer teria comercializado esse exploit semanas antes da revelação oficial da CVE-2025-8088, evidenciando a commoditização do ciclo de ataque. O cenário se agrava ainda mais com outra falha no WinRAR, a CVE-2025-6218 (CVSS 7,8), que também vem sendo explorada por diferentes hackers.