O WinRAR, uma ferramenta indispensável para milhões de usuários de Windows, encontra-se sob um ataque coordenado. Uma falha de segurança crítica, identificada como CVE-2025-6218, tem sido a arma escolhida por pelo menos três grupos de hackers conhecidos, que a utilizam para orquestrar campanhas maliciosas com diferentes objetivos e níveis de sofisticação.
A vulnerabilidade em questão é um tipo de ataque conhecido como “travessia de diretório”, que permite a execução de códigos arbitrários. Para que o ataque seja bem-sucedido, um cibercriminoso pode inserir caracteres maliciosos que enganam o sistema operacional, concedendo acesso a recursos restritos. Embora a falha exija que a vítima interaja com uma página ou arquivo comprometido, a engenharia social por trás desses ataques os torna perigosamente eficazes.
A RARLAB, desenvolvedora do WinRAR, agiu prontamente, lançando uma atualização de segurança para corrigir a falha em junho. Contudo, relatórios recentes de empresas de cibersegurança revelam que a ameaça persiste. Grupos como GOFFEE, Bitter e Gamaredon continuam a explorar a vulnerabilidade, adaptando suas táticas para contornar as defesas e infectar sistemas.
A Teia de Ameaças: Quem Está Por Trás dos Ataques?
A exploração da CVE-2025-6218 não é um fenômeno isolado, mas sim uma estratégia versátil adotada por diferentes atores maliciosos, cada um com sua metodologia e alvo específicos.
GOFFEE: O Phishing Direcionado
Identificado em agosto, o grupo GOFFEE tem explorado a falha em conjunto com outros problemas operacionais do WinRAR. Suas campanhas são notórias por utilizar e-mails de phishing altamente direcionados, visando organizações específicas. Ao induzir as vítimas a abrir arquivos maliciosos, o GOFFEE consegue comprometer sistemas, abrindo portas para invasões mais profundas.
Bitter: O Cavalo de Troia Disfarçado
O grupo Bitter demonstrou uma abordagem criativa para a exploração da vulnerabilidade. Eles implementaram a CVE-2025-6218 através da instalação de um trojan. Para enganar suas vítimas, o Bitter espalha arquivos RAR que, à primeira vista, parecem conter documentos legítimos do Microsoft Word. No entanto, esses pacotes incluem um template malicioso que, ao ser ativado, executa o trojan, entregando o controle do sistema aos atacantes.
Gamaredon: Ciberespionagem Geopolítica
Com um foco mais estratégico, o grupo Gamaredon tem utilizado a falha do WinRAR em suas campanhas de phishing contra organizações militares e governamentais na Ucrânia. Observadas em novembro, suas ações visam infectar sistemas com malware de ciberespionagem. O objetivo é a coleta de informações confidenciais, demonstrando o uso da vulnerabilidade em um contexto de conflito geopolítico.
Proteja-se: Medidas Essenciais Contra a Vulnerabilidade
Diante da persistência e da diversidade dos ataques, é crucial que os usuários tomem medidas proativas para proteger seus sistemas:
- Atualize o WinRAR Imediatamente: Certifique-se de que sua versão do WinRAR esteja atualizada para a mais recente, incorporando a correção da RARLAB.
- Cuidado com E-mails e Arquivos Suspeitos: Redobre a atenção ao abrir anexos de e-mail ou clicar em links, especialmente de remetentes desconhecidos. O phishing é o principal vetor para a ativação dessa vulnerabilidade.
- Use Antivírus Atualizado: Mantenha seu software antivírus e de segurança sempre atualizado para detectar e bloquear ameaças conhecidas.
- Conscientização: Eduque-se e informe seus colegas sobre os riscos e as melhores práticas de segurança digital.
Até o momento, a RARLAB não se manifestou publicamente sobre as explorações contínuas, mas a comunidade de segurança cibernética espera que agências governamentais reforcem as diretrizes e medidas de segurança para mitigar os riscos advindos dessas explorações multifacetadas.