WinRAR sotto attacco: Nuova falla CVE-2025-6218 scatena ondata di malware e phishing

News
Visite: 80

La vulnerabilità CVE-2025-6218 di WinRAR è al centro dell’attenzione della comunità di sicurezza informatica dopo che la CISA, agenzia statunitense per la sicurezza informatica e delle infrastrutture, l’ha inserita nel catalogo delle vulnerabilità conosciute come attivamente sfruttate. Questa falla, valutata con un punteggio CVSS di 7.8, riguarda una debolezza di tipo path traversal, che consente a un attaccante di eseguire codice arbitrario sul sistema della vittima, a patto che quest’ultima apra un file malevolo o visiti una pagina predisposta allo scopo.

Il problema interessa esclusivamente le versioni Windows di WinRAR e non coinvolge le varianti per Unix o Android. RARLAB, la società sviluppatrice, ha rilasciato una patch risolutiva con la versione 7.12 nel giugno 2025, ma questo non ha impedito che numerosi gruppi di cybercriminali abbiano già iniziato a sfruttare la vulnerabilità.

CVE-2025-6218 può essere sfruttata per piazzare file in cartelle sensibili come la cartella Startup di Windows, con la conseguenza di ottenere l’esecuzione di codice non autorizzato al successivo avvio del sistema. Diversi gruppi di minaccia, tra cui GOFFEE, Bitter (APT-C-08) e Gamaredon, sono stati identificati come responsabili di campagne di attacco basate su questa falla. Ad esempio, il gruppo Bitter ha orchestrato attacchi mirati in Asia meridionale tramite archivi RAR contenenti sia documenti Word innocui sia template macro dannosi, in grado di garantire persistenza sul sistema e aggirare i blocchi standard degli allegati email.

Una volta compromesso il sistema, il malware C# distribuito tramite questa tecnica è in grado di contattare server esterni per il comando e controllo, effettuare keylogging, catturare screenshot, rubare credenziali RDP e esfiltrare file. Le campagne di phishing sono il veicolo principale per la diffusione di questi archivi malevoli.

Anche il gruppo russo Gamaredon ha fatto uso di CVE-2025-6218 nelle sue campagne di spear phishing contro enti militari e governativi ucraini, diffondendo malware come Pteranodon ed eseguendo operazioni di spionaggio e sabotaggio. In alcuni casi, la vulnerabilità è stata usata in combinazione con la CVE-2025-8088 per diffondere malware Visual Basic Script e persino nuovi wiper, segnando un cambio di strategia verso azioni più distruttive.

Vista l’elevata pericolosità e la presenza di exploit attivi, le agenzie federali statunitensi sono obbligate a correggere la vulnerabilità entro il 30 dicembre 2025, per proteggere le proprie reti da potenziali compromissioni.

Pin It
,

Per rimanere aggiornato iscriviti alla nostra newsletter

Cyber pillole più lette

Articoli più letti

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:00 - 13:00
14:00 - 18:00

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.
We use cookies

Utilizziamo i cookie sul nostro sito Web. Alcuni di essi sono essenziali per il funzionamento del sito, mentre altri ci aiutano a migliorare questo sito e l'esperienza dell'utente (cookie di tracciamento). Puoi decidere tu stesso se consentire o meno i cookie. Ti preghiamo di notare che se li rifiuti, potresti non essere in grado di utilizzare tutte le funzionalità del sito.

Ok Rifiuta