 Os investigadores da ESET, maior empresa europeia de cibersegurança, descobriram uma vulnerabilidade até então desconhecida (zero-day) no WinRAR, que está a ser explorada pelo grupo RomCom, alinhado com a Rússia. Esta é pelo menos a terceira vez que o RomCom é apanhado a explorar uma vulnerabilidade de zero-day significativa.
Exemplos anteriores incluem o abuso do CVE-2023-36884 através do Microsoft Word em junho de 2023 e as vulnerabilidades combinadas atribuídas ao CVE-2024-9680 encadeadas com outra vulnerabilidade anteriormente desconhecida no Windows, CVE-2024-49039, visando versões vulneráveis do Firefox, Thunderbird e Tor Browser, levando à execução de código arbitrário no contexto do utilizador ligado em outubro de 2024. O RomCom (também conhecido como Storm-0978, Tropical Scorpius ou UNC2596) é um grupo alinhado com a Rússia que conduz campanhas oportunistas contra setores verticais selecionados e operações de espionagem direcionadas. O foco do grupo mudou para incluir operações de espionagem para recolher informações, em paralelo com as suas operações de cibercrime mais convencionais. A backdoor comummente usada pelo grupo é capaz de executar comandos e descarregar módulos adicionais para a máquina da vítima. A vulnerabilidade, identificada como CVE-2025-8088, utiliza fluxos de dados alternativos (ADSes) para travessia de caminho. Note-se que uma vulnerabilidade semelhante (CVE-2025-6218) que afeta o WinRAR foi divulgada em 19 de junho de 2025, aproximadamente um mês antes. Assim que a vítima abre o ficheiro aparentemente inofensivo, o WinRAR descompacta-o juntamente com todos os seus ADSes. Por exemplo, para 'Eli_Rosenfeld_CV2 - Copy (10).rar', uma DLL maliciosa é implantada em %TEMP%. Da mesma forma, um ficheiro LNK malicioso é implantado no diretório de inicialização do Windows, alcançando assim persistência por meio da execução no login do utilizador. Os atacantes criaram o arquivo de forma especial para que aparentemente contivesse apenas um ficheiro benigno, quando na verdade contém vários ADSes maliciosos. De acordo com a telemetria da ESET, estes arquivos foram usados em campanhas de spearphishing entre 18 e 21 de julho de 2025, visando empresas financeiras, de manufatura, defesa e logística na Europa e no Canadá. Em todos os casos, os atacantes enviaram um CV na esperança de que um alvo curioso o abrisse. De acordo com a telemetria da ESET, nenhum dos alvos foi comprometido. Esta não é a primeira vez que o RomCom usa exploits para comprometer as suas vítimas. Em junho de 2023, o grupo realizou uma campanha de spearphishing visando entidades governamentais e de defesa na Europa, com engodos relacionados com o Congresso Mundial Ucraniano. O documento Microsoft Word anexado ao email tentou explorar a vulnerabilidade CVE-2023-36884, conforme documentado pela equipa de Pesquisa e Inteligência de Ameaças da BlackBerry. Em 8 de outubro de 2024, o grupo explorou uma vulnerabilidade então desconhecida no navegador Firefox. A exploração visava uma vulnerabilidade de uso após liberação nas linhas do tempo do Firefox Animation, permitindo que um invasor executasse código num processo de conteúdo, com o objetivo de implantar o backdoor RomCom. Ao explorar uma vulnerabilidade de zero-day anteriormente desconhecida no WinRAR, o grupo RomCom mostrou que está disposto a investir esforços e recursos significativos nas suas operações cibernéticas. Esta é pelo menos a terceira vez que o RomCom usa uma vulnerabilidade de zero-day em ação, destacando o seu foco contínuo em adquirir e usar exploits para ataques direcionados. A campanha descoberta teve como alvo setores que se alinham com os interesses típicos dos grupos APT alinhados com a Rússia, sugerindo uma motivação geopolítica por trás da operação. Mais informações: https://www.welivesecurity.com/en/eset-research/update-winrar-tools-now-romcom-and-others-exploiting-zero-day-vulnerability/ Imagens de alta resolução: https://fotos.aempress.com/WhiteHat/ESET/WinRAR Comments are closed.
|
Marcas e Empresas
All
Data
Outubro 2025
|
RSS Feed
