Grupos de hackers alinhados à Rússia estão explorando uma vulnerabilidade conhecida no WinRAR para roubar silenciosamente senhas, cookies de sessão e arquivos sensíveis de organizações ucranianas. A falha, rastreada como CVE-2025-8088, foi corrigida em julho de 2025, mas múltiplos grupos alinhados à Rússia continuam a armá-la quase um ano depois. Isso prova que o software não corrigido permanece uma das portas de entrada mais confiáveis para atacantes determinados.
Detalhes técnicos da vulnerabilidade CVE-2025-8088
O CVE-2025-8088 é uma falha de travessia de caminho (path traversal) classificada com CVSS 8.4. Ela permite que um atacante escreva silenciosamente arquivos fora do diretório de extração usando Fluxos de Dados Alternativos do NTFS (NTFS Alternate Data Streams). Os arquivos compactados contêm um PDF visível como isca, além de três payloads ocultos. Esses payloads incluem um atalho LNK na pasta Inicialização do Windows, um carregador PowerShell em C:\ProgramData e um DLL codificado no mesmo local.
Na próxima inicialização, o LNK aciona uma sessão aninhada do PowerShell que decodifica e carrega o payload final inteiramente na memória, usando chamadas de sistema NT diretas para contornar hooks de API comuns. O payload é um DLL internamente chamado result.dll, a forma evoluída do GIFTEDCROOK. Ele visa navegadores como Chrome, Edge, Opera e Firefox, roubando senhas, cookies de sessão e chaves de descriptografia mestras, além de escanear arquivos em 35 extensões, incluindo planilhas, arquivos de e-mail e bancos de dados do KeePass.
Evolução do malware GIFTEDCROOK e táticas de evasão
O GIFTEDCROOK original, documentado em abril de 2025, era um executável independente que enviava credenciais roubadas através de um bot do Telegram com tokens em texto plano. Até fevereiro de 2026, o grupo SHADOW-EARTH-066 mudou para a cadeia de exploração do WinRAR e substituiu o Telegram por comunicação HTTPS criptografada apontando para servidores de comando e controle (C&C) na França, Países Baixos e Suíça. A atualização também adicionou um bypass de criptografia vinculada ao aplicativo do Chrome, mostrando que o desenvolvedor está acompanhando ativamente as mudanças de segurança dos navegadores.
Os carregadores PowerShell são fortemente ofuscados com nomes de funções aleatórios, linhas de comentário lixo e atrasos de sono para evadir a análise de sandbox. O DLL codificado nunca é escrito em disco na forma decodificada, tornando a detecção baseada em arquivos do payload final muito difícil. Os dados roubados são criptografados usando RC4 de camada dupla e enviados via HTTPS para servidores C&C dedicados. Após a exfiltração, o malware exclui todos os arquivos de estágio e remove sua entrada de Inicialização, deixando quase nenhum rastro no sistema comprometido.
Campanhas de spear-phishing e vetores de entrega
Dois conjuntos de intrusão distintos estão trabalhando independentemente, mas mirando a mesma falha. O primeiro, designado SHADOW-EARTH-066 e rastreado pelo CERT-UA como UAC-0226, tem implantado uma versão atualizada de seu sequestrador de informações GIFTEDCROOK. O segundo é o Earth Dahu, também conhecido como Gamaredon, um dos grupos mais ativos alinhados à Rússia que visam a Ucrânia desde pelo menos 2013. Ambos continuaram produzindo novas amostras de exploração até pelo menos abril de 2026.
Analistas da Trend Micro relataram que ambas as campanhas exploram o CVE-2025-8088 através de arquivos RAR maliciosos entregues por e-mails de spear-phishing. Quando um alvo abre o arquivo compactado com uma versão mais antiga do WinRAR, um PDF de isca aparece na tela enquanto arquivos ocultos são silenciosamente baixados para a pasta Inicialização do Windows. Nenhuma mensagem de aviso aparece, e na próxima inicialização, a cadeia de payload é executada automaticamente.
O SHADOW-EARTH-066 visou centros de inovação militar ucranianos, agências de aplicação da lei e órgãos do governo local perto da fronteira leste da Ucrânia. O Earth Dahu usou a mesma falha para entregar ferramentas de espionagem através de arquivos de Aplicação HTML carregados via Cloudflare Workers. Apesar de usar conjuntos de ferramentas diferentes, ambos os grupos confiaram no mesmo ponto de entrada não corrigido.
Indicadores de comprometimento (IoCs) e detecção
As equipes de segurança devem verificar imediatamente as versões do WinRAR em todos os endpoints e implantar a versão 7.13 ou posterior. As organizações devem procurar arquivos LNK ou HTA com nomes aleatórios na pasta Inicialização, verificar C:\ProgramData por arquivos alfanuméricos curtos como KKN ou ND8, e bloquear os endereços IP conhecidos do C&C na perimeter da rede.
Os indicadores de comprometimento incluem endereços IP de servidores C&C do SHADOW-EARTH-066 (como 166[.]0[.]132[.]237 e 136[.]0[.]141[.]41) e do Earth Dahu (como 194[.]58[.]66[.]82). O hash SHA-256 de uma amostra de arquivo RAR analisada na campanha é 3d37 1ef7 1e40 c34a 75c1 68d4 64d4 7db0 96f3 864 99d9 9aa8 8d4e 16b6 3cd4 acda 25. O nome do arquivo final do payload é result.dll, e os nomes de arquivos de estágio adicionais observados incluem U0U, YDV, NdV, QB5k, uaP, WnX, wq_, Arj e O5f.
Outros atores vinculados à Rússia, incluindo Sandworm, Turla e Void Rabisu, também exploraram a mesma vulnerabilidade. A continuação do abuso de uma falha corrigida destaca uma lacuna crítica: o WinRAR não suporta atualizações automáticas ou canais de patch corporativos padrão, tornando fácil para as organizações deixarem versões vulneráveis executando sem detecção.
Recomendações para CISOs e equipes de resposta a incidentes
Para qualquer comprometimento confirmado, as credenciais salvas do navegador e as sessões ativas devem ser rotacionadas, e a autenticação multifator deve ser habilitada em todas as contas críticas. As organizações devem monitorar logs de endpoint para atividades de execução de PowerShell anômalas, especialmente aquelas que carregam DLLs diretamente na memória sem escrita em disco. A implementação de restrições de aplicação (AppLocker) ou políticas de controle de aplicativo (WDAC) pode impedir a execução de scripts não assinados na pasta C:\ProgramData.
Além disso, a segmentação de rede deve ser revisada para limitar a comunicação de saída para os endereços IP e domínios conhecidos dos atacantes. O uso de soluções de detecção e resposta de endpoint (EDR) com capacidades de detecção de comportamento (behavioral detection) é essencial para identificar a execução de payloads em memória que contornam a detecção baseada em assinatura.
Implicações para a cadeia de suprimentos e patch management
A exploração contínua de uma falha corrigida há quase um ano destaca a importância crítica de um programa de gerenciamento de patches robusto. O WinRAR, sendo um software de terceiros sem canais de atualização automática padrão, representa um risco persistente se não for gerenciado proativamente. As organizações devem considerar a virtualização de aplicações ou o uso de containers para isolar softwares legados ou de terceiros que não recebem atualizações frequentes.
A conscientização dos usuários finais também é vital. Campanhas de treinamento devem enfatizar os riscos de abrir arquivos compactados de remetentes desconhecidos e a importância de verificar a integridade dos arquivos antes da extração. A implementação de gateways de e-mail que escaneiam arquivos compactados e bloqueiam formatos de arquivo suspeitos pode reduzir significativamente a superfície de ataque.
O que fazer agora: Plano de ação imediato
1. Inventariar todas as instalações do WinRAR na rede e verificar se a versão 7.13 ou posterior está implantada. 2. Bloquear os endereços IP e domínios listados nos IoCs nos firewalls de perímetro e proxies. 3. Revisar logs de autenticação e acesso para identificar conexões de VPN ou acesso remoto não autorizado que possam indicar comprometimento prévio. 4. Atualizar políticas de segurança para incluir a verificação de integridade de arquivos compactados antes da extração. 5. Realizar varreduras de vulnerabilidade focadas em software de terceiros não gerenciado para identificar outras falhas não corrigidas.
A exploração ativa do CVE-2025-8088 serve como um lembrete de que a segurança não é um estado, mas um processo contínuo. A persistência dos grupos de ameaças em explorar falhas antigas exige que as organizações mantenham uma postura de defesa em profundidade, combinando patches, monitoramento de rede e conscientização de usuários para mitigar riscos efetivamente.