A fine luglio è stata rilasciata la versione 7.13 di WinRAR che corregge una vulnerabilità zero-day. I ricercatori di ESET, che avevano segnalato il problema, hanno ora scoperto che i cybercriminali russi del gruppo RomCom sfruttano il bug per distribuire tre distinti malware. Gli utenti devono quindi aggiornare subito il software.

Mythic, SnipBot e RustyClaw

Gli esperti di ESET hanno trovato una DLL infetta ( msedge.dll ) in un archivio RAR contenente un percorso insolito. Dopo l’analisi approfondita è stata individuata una vulnerabilità zero-day in WinRAR 7.12, indicata con CVE-2025-8088, che consente di copiare malware nelle directory di esecuzione automatica. L’exploit sfrutta gli ADS (Alternate Data Stream) del file system NTFS di Windows. Il tipo di vulnerabilità è nota come path traversal o directory traversal.

I cybercriminali inviano un’email alle potenziali vittime. In allegato c’è un archivio RAR che contiene un file LNK (copiato nella directory Startup ) e un file DLL o EXE (copiato nelle directory %TEMP% o %LOCALAPPDATA% ). Nell’archivio è visibile solo un file PDF.

Il gruppo RomCom ha sfruttato la vulnerabilità per distribuire tre malware. Il primo è Mythic. Il file LNK ( Updater.lnk ) aggiunge una chiave nel registro che punta al file infetto msedge.dll presente nella directory %TEMP% . Quando l’utente esegue Microsoft Edge viene caricata la DLL che decifra uno shellcode. Quest’ultimo esegue l’agente Mythic che comunica con il server C&C (command and control).

Il secondo malware è SnipBot. Il file LNK ( Display Settings.lnk ) esegue ApbxHelper.exe nella directory %LOCALAPPDATA% . Si tratta di una versione modificata di PuTTY CAC che esegue SnipBot e scarica altri payload dal server remoto.

Il terzo malware è RustyClaw. Il file LNK ( Settings.lnk ) esegue Complaint.exe nella directory %LOCALAPPDATA% . Si tratta di RustyClaw, un download che scarica altri payload dal server remoto.

ESET ha contattato lo sviluppatore di WinRAR il 24 luglio. Il fix è stato quindi incluso lo stesso giorno nella versione 7.13 beta 1 e il 30 luglio nella versione finale.