🚨 NOVA NOTÍCIA EM DESTAQUE! 🚨
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O Google revelou na terça-feira que vários atores de ameaças, incluindo adversários de estados-nação e grupos com motivação financeira, estão explorando uma falha crítica de segurança agora corrigida no RARLAB WinRAR para estabelecer acesso inicial e implantar uma gama diversificada de cargas úteis.
“Descobertos e corrigidos em julho de 2025, atores de ameaças apoiados pelo governo ligados à Rússia e à China, bem como atores de ameaças com motivação financeira, continuam a explorar este dia em operações díspares”, disse o Google Threat Intelligence Group (GTIG).
“O método de exploração consistente, uma falha de passagem de caminho que permite que os arquivos sejam colocados na pasta de inicialização do Windows para persistência, ressalta uma lacuna defensiva na segurança fundamental dos aplicativos e na conscientização do usuário”.
A vulnerabilidade em questão é CVE-2025-8088 (pontuação CVSS: 8.8), que foi corrigida pelo WinRAR versão 7.13 lançada em 30 de julho de 2025. A exploração bem-sucedida da falha pode permitir que um invasor obtenha a execução arbitrária de código criando arquivos maliciosos que são abertos por uma versão vulnerável do programa.
A ESET, que descobriu e relatou o defeito de segurança, disse ter observado o duplo grupo de ameaças financeiras e motivadas por espionagem conhecido como RomCom (também conhecido como CIGAR ou UNC4895) explorando a falha como um dia zero já em 18 de julho de 2025, para entregar uma variante do malware SnipBot (também conhecido como NESTPACKER). É importante notar que o Google está rastreando o grupo de ameaças por trás da implantação do Cuba Ransomware sob o apelido de UNC2596.
Desde então, a vulnerabilidade tem sido amplamente explorada, com cadeias de ataque normalmente ocultando o arquivo malicioso, como um atalho do Windows (LNK), dentro dos fluxos de dados alternativos (ADS) de um arquivo chamariz dentro do arquivo, fazendo com que a carga útil seja extraída para um caminho específico (por exemplo, a pasta de inicialização do Windows) e executada automaticamente assim que o usuário fizer login na máquina após uma reinicialização.
Alguns dos outros atores de ameaças russos que aderiram ao movimento da exploração estão listados abaixo -
Sandworm (também conhecido como APT44 e FROZENBARENTS), que aproveitou a falha para lançar um arquivo isca com um nome de arquivo ucraniano e um arquivo LNK malicioso que tenta fazer downloads adicionais
Gamaredon (também conhecido como CARPATHIAN), que aproveitou a falha para atacar agências governamentais ucranianas com arquivos RAR maliciosos contendo arquivos HTML Application (HTA) que atuam como um downloader para um segundo estágio
Turla (também conhecida como SUMMIT), que aproveitou a falha para entregar o pacote de malware STOCKSTAY usando iscas centradas em atividades militares ucranianas e operações de drones
GTIG disse que também identificou um ator baseado na China usando CVE-2025-8088 como arma para entregar Poison Ivy por meio de um script em lote colocado na pasta de inicialização do Windows que é então configurada para baixar um conta-gotas.
“Atores de ameaças com motivação financeira também adotaram rapidamente a vulnerabilidade para implantar RATs de commodities e ladrões de informações contra alvos comerciais”, acrescentou. Alguns desses ataques levaram à implantação de backdoors controlados por bots do Telegram e famílias de malware como AsyncRAT e XWorm.
Em outro caso destacado pela equipe de inteligência de ameaças do Google, um grupo de crimes cibernéticos conhecido por atingir usuários brasileiros por meio de sites bancários teria entregado uma extensão maliciosa do Chrome capaz de injetar JavaScript nas páginas de dois sites bancários brasileiros para veicular conteúdo de phishing e roubar credenciais.
A ampla exploração da falha é considerada o resultado de uma economia subterrânea próspera, onde as explorações do WinRAR foram anunciadas por milhares de dólares. Um desses fornecedores, “zeroplayer”, comercializou um exploit WinRAR na mesma época, nas semanas que antecederam a divulgação pública do CVE-2025-8088.
“A atividade contínua da Zeroplayer como fornecedor upstream de exploits destaca a contínua comoditização do ciclo de vida do ataque”, disse GTIG. "Ao fornecer capacidades prontas para uso, atores como o zeroplayer reduzem a complexidade técnica e as demandas de recursos dos atores de ameaças, permitindo que grupos com motivações diversas [...] aproveitem um conjunto diversificado de capacidades."
O desenvolvimento ocorre no momento em que outra vulnerabilidade do WinRAR (CVE-2025-6218, pontuação CVSS: 7,8) também testemunhou esforços de exploração de vários atores de ameaças, incluindo GOFFEE, Bitter e Gamaredon, ressaltando a ameaça representada pelas vulnerabilidades de N dias.
“Descobertos e corrigidos em julho de 2025, atores de ameaças apoiados pelo governo ligados à Rússia e à China, bem como atores de ameaças com motivação financeira, continuam a explorar este dia em operações díspares”, disse o Google Threat Intelligence Group (GTIG).
“O método de exploração consistente, uma falha de passagem de caminho que permite que os arquivos sejam colocados na pasta de inicialização do Windows para persistência, ressalta uma lacuna defensiva na segurança fundamental dos aplicativos e na conscientização do usuário”.
A vulnerabilidade em questão é CVE-2025-8088 (pontuação CVSS: 8.8), que foi corrigida pelo WinRAR versão 7.13 lançada em 30 de julho de 2025. A exploração bem-sucedida da falha pode permitir que um invasor obtenha a execução arbitrária de código criando arquivos maliciosos que são abertos por uma versão vulnerável do programa.
A ESET, que descobriu e relatou o defeito de segurança, disse ter observado o duplo grupo de ameaças financeiras e motivadas por espionagem conhecido como RomCom (também conhecido como CIGAR ou UNC4895) explorando a falha como um dia zero já em 18 de julho de 2025, para entregar uma variante do malware SnipBot (também conhecido como NESTPACKER). É importante notar que o Google está rastreando o grupo de ameaças por trás da implantação do Cuba Ransomware sob o apelido de UNC2596.
Desde então, a vulnerabilidade tem sido amplamente explorada, com cadeias de ataque normalmente ocultando o arquivo malicioso, como um atalho do Windows (LNK), dentro dos fluxos de dados alternativos (ADS) de um arquivo chamariz dentro do arquivo, fazendo com que a carga útil seja extraída para um caminho específico (por exemplo, a pasta de inicialização do Windows) e executada automaticamente assim que o usuário fizer login na máquina após uma reinicialização.
Alguns dos outros atores de ameaças russos que aderiram ao movimento da exploração estão listados abaixo -
Sandworm (também conhecido como APT44 e FROZENBARENTS), que aproveitou a falha para lançar um arquivo isca com um nome de arquivo ucraniano e um arquivo LNK malicioso que tenta fazer downloads adicionais
Gamaredon (também conhecido como CARPATHIAN), que aproveitou a falha para atacar agências governamentais ucranianas com arquivos RAR maliciosos contendo arquivos HTML Application (HTA) que atuam como um downloader para um segundo estágio
Turla (também conhecida como SUMMIT), que aproveitou a falha para entregar o pacote de malware STOCKSTAY usando iscas centradas em atividades militares ucranianas e operações de drones
GTIG disse que também identificou um ator baseado na China usando CVE-2025-8088 como arma para entregar Poison Ivy por meio de um script em lote colocado na pasta de inicialização do Windows que é então configurada para baixar um conta-gotas.
“Atores de ameaças com motivação financeira também adotaram rapidamente a vulnerabilidade para implantar RATs de commodities e ladrões de informações contra alvos comerciais”, acrescentou. Alguns desses ataques levaram à implantação de backdoors controlados por bots do Telegram e famílias de malware como AsyncRAT e XWorm.
Em outro caso destacado pela equipe de inteligência de ameaças do Google, um grupo de crimes cibernéticos conhecido por atingir usuários brasileiros por meio de sites bancários teria entregado uma extensão maliciosa do Chrome capaz de injetar JavaScript nas páginas de dois sites bancários brasileiros para veicular conteúdo de phishing e roubar credenciais.
A ampla exploração da falha é considerada o resultado de uma economia subterrânea próspera, onde as explorações do WinRAR foram anunciadas por milhares de dólares. Um desses fornecedores, “zeroplayer”, comercializou um exploit WinRAR na mesma época, nas semanas que antecederam a divulgação pública do CVE-2025-8088.
“A atividade contínua da Zeroplayer como fornecedor upstream de exploits destaca a contínua comoditização do ciclo de vida do ataque”, disse GTIG. "Ao fornecer capacidades prontas para uso, atores como o zeroplayer reduzem a complexidade técnica e as demandas de recursos dos atores de ameaças, permitindo que grupos com motivações diversas [...] aproveitem um conjunto diversificado de capacidades."
O desenvolvimento ocorre no momento em que outra vulnerabilidade do WinRAR (CVE-2025-6218, pontuação CVSS: 7,8) também testemunhou esforços de exploração de vários atores de ameaças, incluindo GOFFEE, Bitter e Gamaredon, ressaltando a ameaça representada pelas vulnerabilidades de N dias.
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #google #alerta #sobre #exploração #ativa #da #vulnerabilidade #winrar #cve20258088
🎉 Obrigado por acompanhar, até a próxima notícia!
Postar um comentário