Google ha segnalato lo sfruttamento attivo della vulnerabilità WinRAR CVE 2025 8088, una falla critica che continua a essere usata da più gruppi di minaccia anche dopo la correzione. Il problema, risolto con WinRAR 7.13 rilasciato a fine luglio 2025, permette a un attaccante di ottenere esecuzione di codice arbitrario tramite archivi malevoli aperti su versioni vulnerabili del software. La gravità è alta e il rischio aumenta perché la vulnerabilità viene sfruttata come n-day, cioè dopo la disponibilità pubblica della patch, approfittando di sistemi non aggiornati.

Meccanismo di attacco e persistenza

Il meccanismo di attacco più ricorrente è una path traversal che consente di estrarre file in percorsi non previsti, in particolare nella cartella Windows Startup. In questo modo il malware ottiene persistenza, avviandosi automaticamente al login dell’utente dopo un riavvio. Alcune catene di infezione nascondono il payload, ad esempio un collegamento Windows LNK, dentro gli alternate data streams di un file esca presente nell’archivio. L’utente vede un contenuto apparentemente legittimo, ma l’estrazione posiziona in background il componente malevolo nel percorso di avvio automatico.

Campagne e malware osservati

Tra i casi osservati, la falla è stata inizialmente utilizzata per distribuire varianti di malware come SnipBot, e successivamente è stata adottata da diversi attori con obiettivi differenti, inclusi gruppi legati a operazioni di spionaggio e gruppi orientati al profitto. Sono state documentate campagne che impiegano archivi RAR con file HTA usati come downloader, oltre a payload più comuni come RAT e infostealer. In alcuni scenari sono comparsi backdoor controllati tramite bot Telegram e famiglie malware come AsyncRAT e XWorm. È stato anche rilevato l’uso della vulnerabilità per distribuire Poison Ivy attraverso script batch depositati nella Startup folder e configurati per scaricare ulteriori componenti.

Mercato underground e misure di mitigazione

La diffusione dello sfruttamento è favorita anche dal mercato underground, dove exploit WinRAR vengono pubblicizzati e venduti per migliaia di dollari, abbassando la barriera tecnica e rendendo l’attacco accessibile a un numero maggiore di criminali. Questo contesto evidenzia quanto sia essenziale aggiornare WinRAR, bloccare l’esecuzione di collegamenti e script non necessari, e monitorare modifiche sospette alle cartelle di avvio automatico su Windows.