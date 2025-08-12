A fine luglio è stata rilasciata la versione 7.13 di WinRAR che corregge una vulnerabilità zero-day. I ricercatori di ESET, che avevano segnalato il problema, hanno ora scoperto che i cybercriminali russi del gruppo RomCom sfruttano il bug per distribuire tre distinti malware. Gli utenti devono quindi aggiornare subito il software.
Mythic, SnipBot e RustyClaw
Gli esperti di ESET hanno trovato una DLL infetta (
msedge.dll) in un archivio RAR contenente un percorso insolito. Dopo l’analisi approfondita è stata individuata una vulnerabilità zero-day in WinRAR 7.12, indicata con CVE-2025-8088, che consente di copiare malware nelle directory di esecuzione automatica. L’exploit sfrutta gli ADS (Alternate Data Stream) del file system NTFS di Windows. Il tipo di vulnerabilità è nota come path traversal o directory traversal.
I cybercriminali inviano un’email alle potenziali vittime. In allegato c’è un archivio RAR che contiene un file LNK (copiato nella directory
Startup) e un file DLL o EXE (copiato nelle directory
%TEMP% o
%LOCALAPPDATA%). Nell’archivio è visibile solo un file PDF.
Il gruppo RomCom ha sfruttato la vulnerabilità per distribuire tre malware. Il primo è Mythic. Il file LNK (
Updater.lnk) aggiunge una chiave nel registro che punta al file infetto
msedge.dll presente nella directory
%TEMP%. Quando l’utente esegue Microsoft Edge viene caricata la DLL che decifra uno shellcode. Quest’ultimo esegue l’agente Mythic che comunica con il server C&C (command and control).
Il secondo malware è SnipBot. Il file LNK (
Display Settings.lnk) esegue
ApbxHelper.exe nella directory
%LOCALAPPDATA%. Si tratta di una versione modificata di PuTTY CAC che esegue SnipBot e scarica altri payload dal server remoto.
Il terzo malware è RustyClaw. Il file LNK (
Settings.lnk) esegue
Complaint.exe nella directory
%LOCALAPPDATA%. Si tratta di RustyClaw, un download che scarica altri payload dal server remoto.
ESET ha contattato lo sviluppatore di WinRAR il 24 luglio. Il fix è stato quindi incluso lo stesso giorno nella versione 7.13 beta 1 e il 30 luglio nella versione finale.