Iscriviti al webinar gratuito per CISO del 18 Giugno: "Dove si rompono gli LLM: la OWASP Top 10 spiegata per chi deve governare il rischio AI." Scopri di più
WinRAR ancora bucato: CVE-2025-8088 colpisce l’Ucraina con RAR-trappola e furto credenziali
Una vulnerabilita di WinRAR continua a essere sfruttata in attacchi informatici mirati contro organizzazioni ucraine anche a distanza di molti mesi dal rilascio della patch. Il problema, identificato come CVE 2025 8088, riguarda un difetto di path traversal che consente a un aggressore di scrivere file al di fuori della cartella di estrazione usando NTFS Alternate Data Streams.
In pratica, un archivio RAR costruito ad arte puo depositare componenti malevoli in percorsi inattesi, aggirando controlli basati su dove ci si aspetta che finiscano i file estratti.
Le campagne osservate mostrano quanto la gestione non aggiornata del software mantenga aperti punti di ingresso anche dopo che la correzione e disponibile. In questi scenari, WinRAR e spesso presente su molte postazioni e viene usato quotidianamente, diventando un obiettivo ideale per chi vuole ottenere accesso iniziale con un singolo file inviato via email o condiviso tramite canali di collaborazione.
Una delle catene di infezione piu recenti utilizza archivi RAR che includono un documento esca in formato PDF e piu payload nascosti tramite ADS. L apertura dell archivio porta alla creazione di un file LNK posizionato nella cartella di avvio automatico di Windows, cosi da eseguire il malware a ogni login. Il collegamento richiama cmd exe e avvia un loader PowerShell che carica una DLL direttamente in memoria, tecnica utile per ridurre le tracce su disco e complicare l analisi. Il risultato finale e il rilascio di un information stealer aggiornato, progettato per rubare credenziali e dati sensibili.
Il malware mira in particolare a password e cookie dei browser basati su Chromium come Chrome Edge e Opera, oltre a Mozilla Firefox, e raccoglie documenti con estensioni specifiche dalla macchina della vittima. Dopo l esfiltrazione verso server esterni, gli artefatti malevoli vengono rimossi per ostacolare le indagini forensi. Un cambiamento rilevante nelle tattiche e il passaggio da canali di esfiltrazione su piattaforme di messaggistica a server di comando e controllo dedicati, segnale di un adattamento operativo alle condizioni del contesto.
Un secondo filone di attacco integra la stessa falla WinRAR in una catena che impiega HTA e VBScript per scaricare moduli aggiuntivi nel tempo, mantenendo accesso persistente e distribuendo componenti di spionaggio e furto dati. L uso ripetuto della stessa vulnerabilita da parte di piu gruppi evidenzia l importanza di aggiornare WinRAR e applicare patch tempestive in ambienti aziendali.