Vulnerabilità di WinRAR sfruttata per spionaggio
Topic
Approfondimenti
Trending
tutti

Vulnerabilità di WinRAR sfruttata per spionaggio

Una vulnerabilità di WinRAR (già risolta) è stata sfruttata per eseguire numerosi attacchi a scopo di spionaggio da parte di cybercriminali russi.
Vulnerabilità di WinRAR sfruttata per spionaggio
Sicurezza
Una vulnerabilità di WinRAR (già risolta) è stata sfruttata per eseguire numerosi attacchi a scopo di spionaggio da parte di cybercriminali russi.
Bleeping Computer

Una vulnerabilità di WinRAR è stata sfruttata da cybercriminali russi e cinesi per attività di spionaggio contro governi, militari e aziende tecnologiche. Il Google Threat Intelligence Group ha descritto le tecniche utilizzate con un post sul blog ufficiale. La patch che risolve il problema di sicurezza è inclusa nella versione 7.13 del popolare software.

Descrizione degli exploit

La vulnerabilità, indicata con CVE-2025-8088, permette ai cybercriminali di sfruttare gli ADS (Alternate Data Stream) di NTFS per scrivere file in posizioni arbitrarie, quasi sempre la directory Windows Startup. Ciò avviene nascondendo il file infetto dell’ADS di un documento PDF presente nell’archivio RAR. Quando l’ignara vittima estrae il contenuto dell’archivio, il malware viene copiato nella directory ed eseguito ad ogni avvio del PC.

Gli esperti di ESET avevano già individuato tre malware distribuiti dal gruppo russo RomCom. Il Google Threat Intelligence Group ha rilevato altri attacchi effettuati da quattro gruppi russi e un gruppo cinese contro governi, militari e aziende tecnologiche a scopo di spionaggio.

I cybercriminali di UNC4895 (noto anche come CIGAR o RomCom) hanno sfruttato la vulnerabilità per installare sui computer il malware NESTPACKER (Snipbot), lo stesso scoperto da ESET. Hanno inviato ad alcuni militari ucraini (spear phishing) email con archivi RAR contenenti il malware.

Un altro attacco contro militari ucraini è stato effettuato dal gruppo APT44 (FROZENBARENTS). In questo caso, nell’archivio RAR è presente un file LNK che consente il download dei malware. I russi del gruppo TEMP.Armageddon (CARPATHIAN) hanno invece colpito entità governative ucraine. Nell’archivio è presente un file HTA che scarica i malware.

I militari ucraini sono anche il bersaglio del gruppo Turla (SUMMIT) che ha distribuito il malware STOCKSTAY. La vulnerabilità è stata infine sfruttata da cybercriminali cinesi per scaricare il malware POISONIVY tramite file BAT copiato nella directory Windows Startup.

Google ha rilevato altri exploit che consentono di installare RAT (Remote Access Trojan), infostealer e backdoor. È chiaro che le vulnerabilità di software molto popolari rappresentano un’importante fonte di guadagno per molti cybercriminali.

Fonte: Google

Pubblicato il 31 gen 2026

Link copiato negli appunti

Ti potrebbe interessare

Furto di dati con false comunicazioni INPS

Furto di dati con false comunicazioni INPS
Una VPN per 10 dispositivi in contemporanea: è il momento di scegliere NordVPN (-74%)

Una VPN per 10 dispositivi in contemporanea: è il momento di scegliere NordVPN (-74%)
Windows dice addio a NTLM: gli IT admin devono prepararsi ora

Windows dice addio a NTLM: gli IT admin devono prepararsi ora
Avast è in super offerta: sicurezza completa con sconto fino al 70%

Avast è in super offerta: sicurezza completa con sconto fino al 70%
Furto di dati con false comunicazioni INPS

Furto di dati con false comunicazioni INPS
Una VPN per 10 dispositivi in contemporanea: è il momento di scegliere NordVPN (-74%)

Una VPN per 10 dispositivi in contemporanea: è il momento di scegliere NordVPN (-74%)
Windows dice addio a NTLM: gli IT admin devono prepararsi ora

Windows dice addio a NTLM: gli IT admin devono prepararsi ora
Avast è in super offerta: sicurezza completa con sconto fino al 70%

Avast è in super offerta: sicurezza completa con sconto fino al 70%
Luca Colantuoni
Pubblicato il
31 gen 2026
Link copiato negli appunti