SOC Prime Bias: Crítico

28 Jan 2026 16:07
newspaper icon Blog da Google Cloud

CVE-2025-8088: Atores de Ameaça Diversificados Exploram uma Falha Crítica no WinRAR

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
CVE-2025-8088: Atores de Ameaça Diversificados Exploram uma Falha Crítica no WinRAR
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query


Resumo

O Grupo de Inteligência de Ameaças do Google relata uma ampla exploração da CVE-2025-8088, uma falha de travessia de caminho de alta severidade no WinRAR. Adversários a usam para colocar arquivos maliciosos na pasta de Inicialização do Windows para obter persistência. Grupos patrocinados por estados e grupos com motivação financeira estão aproveitando a exploração para entregar RATs, downloaders e cargas sucessivas. O relatório compartilha indicadores, além de orientações de detecção e mitigação.

Investigação

Pesquisadores vincularam vários atores—UNC4895, APT44, Turla e um grupo baseado na RPC—a arquivos RAR criados que abusam de Fluxos de Dados Alternativos (ADS) para soltar arquivos LNK, HTA ou BAT na Inicialização. Alguns arquivos prepararam manipuladores LNK que lançam HTA ou BAT no logon. Famílias de malware observadas incluem NESTPACKER, POISONIVY, XWorm e AsyncRAT. Infraestrutura compartilhada e código de exploração reutilizado apareceram em campanhas direcionadas à Ucrânia e outras regiões.

Mitigação

Atualize o WinRAR para 7.13+ e aplique listas de permissão de aplicativos. Reduza a exposição de ADS onde possível e monitore a pasta de Inicialização para novos arquivos LNK, HTA, BAT ou scripts. Aplique o Google Safe Browsing e controles de segurança de e-mail para interromper arquivos de arquivo maliciosos mais cedo.

Resposta

Detecte a criação de arquivos no caminho de Inicialização relacionada à extração de RAR, especialmente atalhos e scripts. Correlacione alertas com nomes de arquivos e hashes conhecidos, isole hosts afetados, confirme a família de malware e remova a persistência de Inicialização durante a resposta a incidentes.

“graph TB %% Class definitions classDef technique fill:#99ccff classDef file fill:#ffcc99 classDef process fill:#ccffcc classDef tool fill:#cccccc %% Node definitions tech_phishing[“<b>Técnica</b> – <b>T1566.001 Anexos de Spearphishing</b><br/>Adversário envia e-mail direcionado com arquivo RAR malicioso”] class tech_phishing technique file_rar[“<b>Arquivo</b> – <b>Nome</b>: malicioso.rar<br/>Contém PDF de engano e carga útil ADS”] class file_rar file tech_user_exec[“<b>Técnica</b> – <b>T1204.002 Execução do Usuário</b><br/>A vítima abre o RAR causando extração”] class tech_user_exec technique file_ads[“<b>Arquivo</b> – <b>Tipo</b>: Fluxo de Dados Alternativo (ADS)<br/>Carga útil: innocuous.pdf:malicious.lnk”] class file_ads file tech_exploit[“<b>Técnica</b> – <b>T1203 Exploração para Execução do Cliente</b><br/>Usa CVE-2025-8088 travessia de caminho para escrever .lnk”] class tech_exploit technique file_lnk[“<b>Arquivo</b> – <b>Nome</b>: malicioso.lnk<br/>Colocado na pasta de Inicialização do Windows”] class file_lnk file tech_persistence[“<b>Técnica</b> – <b>T1547.009 Modificação de Atalho</b><br/>Atalho na Inicialização fornece persistência”] class tech_persistence technique tech_cmd[“<b>Técnica</b> – <b>T1059.003 Shell de Comando</b><br/>Scripts em lote ou .cmd baixam cargas úteis adicionais”] class tech_cmd technique tool_ratrat[“<b>Ferramenta</b> – <b>Nome</b>: XWorm / AsyncRAT<br/>Cavalo de Troia de acesso remoto”] class tool_ratrat tool tech_mshta[“<b>Técnica</b> – <b>T1218.005 Execução via Proxy Mshta</b><br/>Arquivos HTA lançados via mshta.exe”] class tech_mshta technique file_hta[“<b>Arquivo</b> – <b>Nome</b>: payload.hta<br/>Executado com mshta”] class file_hta file process_mshta[“<b>Processo</b> – <b>Nome</b>: mshta.exe<br/>Executa arquivo HTA”] class process_mshta process %% Connections showing attack flow tech_phishing u002du002d>|entrega| file_rar file_rar u002du002d>|extraído por| tech_user_exec tech_user_exec u002du002d>|cria| file_ads file_ads u002du002d>|usado por| tech_exploit tech_exploit u002du002d>|escreve| file_lnk file_lnk u002du002d>|ativa| tech_persistence tech_persistence u002du002d>|dispara| tech_cmd tech_cmd u002du002d>|baixa| tool_ratrat tech_cmd u002du002d>|solta| file_hta tech_cmd u002du002d>|lança| tech_mshta tech_mshta u002du002d>|executa| file_hta file_hta u002du002d>|executado por| process_mshta process_mshta u002du002d>|executa| tech_mshta “

Fluxo de Ataque

Execução da Simulação

Pré-requisito: O Cheque Prévio de Telemetria e Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa e Comandos de Ataque:
    Um invasor cria um arquivo RAR malicioso que incorpora um atalho do Windows (malicious.lnk) como um Fluxo de Dados Alternativo anexado a um PDF de aparência inofensiva (innocuous.pdf). Aproveitando a CVE‑2025‑8088, o atacante sabe que o WinRAR extrairá o ADS diretamente no caminho de destino sem sanitizar o nome do fluxo. O arquivo é entregue à máquina da vítima (por exemplo, via phishing). O atacante então executa o WinRAR em modo silencioso para extrair a carga diretamente na pasta de Inicialização do usuário atual, alcançando persistência.

    1. Crie a carga útil maliciosa LNK (um atalho que lança cmd.exe /c calc.exe).
    2. Anexe o LNK como um ADS a innocuous.pdf dentro do RAR.
    3. Entregue o RAR para a vítima.
    4. Execute a extração do WinRAR para o diretório de Inicialização.

  • Script de Teste de Regressão:

    # --------------------------------------------------------------
# Script PowerShell para simular persistência LNK-ADS CVE‑2025‑8088
# --------------------------------------------------------------

# 1. Variáveis
$tempDir      = "$envTEMPLNK_ADS_Test"
$pdfPath      = "$tempDirinnocuous.pdf"
$lnkPath      = "$tempDirmalicious.lnk"
$rarPath      = "$tempDirmalicious.rar"
$startupPath  = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup"

# Assegure um espaço de trabalho limpo
Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
New-Item -ItemType Directory -Path $tempDir | Out-Null

# 2. Crie um PDF fictício (arquivo vazio funciona para demonstração de ADS)
New-Item -ItemType File -Path $pdfPath | Out-Null

# 3. Crie LNK malicioso apontando para a calculadora
$ws = New-Object -ComObject WScript.Shell
$shortcut = $ws.CreateShortcut($lnkPath)
$shortcut.TargetPath = "calc.exe"
$shortcut.WindowStyle = 1
$shortcut.Save()

# 4. Empacote PDF e anexe LNK como ADS usando CLI do WinRAR
#    A sintaxe cria um ADS chamado "malicious.lnk" anexado ao PDF.
& "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"

# 5. Extraia RAR diretamente para a pasta de Inicialização (modo silencioso)
& "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath

# 6. Verifique se o LNK agora existe no Startup (será visível como um .lnk regular)
$extractedLnk = Join-Path $startupPath "malicious.lnk"
if (Test-Path $extractedLnk) {
    Write-Host "[+] Atalho malicioso implantado no Startup: $extractedLnk"
} else {
    Write-Error "[-] Atalho não encontrado – a extração pode ter falhado."
}

# --------------------------------------------------------------
# Fim do script
# --------------------------------------------------------------

  • Comandos de Limpeza:

    # Remova o atalho malicioso do Startup
$lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
if (Test-Path $lnk) { Remove-Item -Force $lnk }

# Delete arquivos e diretórios temporários
$temp = "$envTEMPLNK_ADS_Test"
if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

Fim do Relatório

Junte-se à plataforma Detection as Code da SOC Prime para melhorar a visibilidade das ameaças mais relevantes para o seu negócio. Para ajudá-lo a começar e gerar valor imediato, agende uma reunião agora com os especialistas da SOC Prime.

Cadastre-se Gratuitamente