CVE-2025-8088: Atores de Ameaça Diversificados Exploram uma Falha Crítica no WinRAR
Detection stack
- AIDR
- Alert
- ETL
- Query
Resumo
O Grupo de Inteligência de Ameaças do Google relata uma ampla exploração da CVE-2025-8088, uma falha de travessia de caminho de alta severidade no WinRAR. Adversários a usam para colocar arquivos maliciosos na pasta de Inicialização do Windows para obter persistência. Grupos patrocinados por estados e grupos com motivação financeira estão aproveitando a exploração para entregar RATs, downloaders e cargas sucessivas. O relatório compartilha indicadores, além de orientações de detecção e mitigação.
Investigação
Pesquisadores vincularam vários atores—UNC4895, APT44, Turla e um grupo baseado na RPC—a arquivos RAR criados que abusam de Fluxos de Dados Alternativos (ADS) para soltar arquivos LNK, HTA ou BAT na Inicialização. Alguns arquivos prepararam manipuladores LNK que lançam HTA ou BAT no logon. Famílias de malware observadas incluem NESTPACKER, POISONIVY, XWorm e AsyncRAT. Infraestrutura compartilhada e código de exploração reutilizado apareceram em campanhas direcionadas à Ucrânia e outras regiões.
Mitigação
Atualize o WinRAR para 7.13+ e aplique listas de permissão de aplicativos. Reduza a exposição de ADS onde possível e monitore a pasta de Inicialização para novos arquivos LNK, HTA, BAT ou scripts. Aplique o Google Safe Browsing e controles de segurança de e-mail para interromper arquivos de arquivo maliciosos mais cedo.
Resposta
Detecte a criação de arquivos no caminho de Inicialização relacionada à extração de RAR, especialmente atalhos e scripts. Correlacione alertas com nomes de arquivos e hashes conhecidos, isole hosts afetados, confirme a família de malware e remova a persistência de Inicialização durante a resposta a incidentes.
Fluxo de Ataque
Detecções
Arquivos Extraídos Suspeitos de um Arquivo (via file_event)
Ver
Binário / Scripts Suspeitos na Localização de Inicialização Automática (via file_event)
Ver
Possível Tentativa de Exploração CVE-2025-8088 / CVE-2025-6218 (Vulnerabilidade do WinRAR) (via file_event)
Ver
IOCs (HashSha256) para detectar: Diversos Atores de Ameaça Explorando Vulnerabilidade Crítica do WinRAR CVE-2025-8088 Parte 2
Ver
IOCs (HashSha256) para detectar: Diversos Atores de Ameaça Explorando Vulnerabilidade Crítica do WinRAR CVE-2025-8088 Parte 1
Ver
Detecção de Arquivos LNK Maliciosos em Arquivos WinRAR para Persistência [Evento de Arquivo do Windows]
Ver
Detecção de Arquivo LNK Malicioso em Arquivo WinRAR Explorando CVE-2025-8088 [Evento de Arquivo do Windows]
Ver
Execução da Simulação
Pré-requisito: O Cheque Prévio de Telemetria e Base deve ter sido aprovado.
Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.
-
Narrativa e Comandos de Ataque:
Um invasor cria um arquivo RAR malicioso que incorpora um atalho do Windows (malicious.lnk) como um Fluxo de Dados Alternativo anexado a um PDF de aparência inofensiva (innocuous.pdf). Aproveitando a CVE‑2025‑8088, o atacante sabe que o WinRAR extrairá o ADS diretamente no caminho de destino sem sanitizar o nome do fluxo. O arquivo é entregue à máquina da vítima (por exemplo, via phishing). O atacante então executa o WinRAR em modo silencioso para extrair a carga diretamente na pasta de Inicialização do usuário atual, alcançando persistência.- Crie a carga útil maliciosa LNK (um atalho que lança
cmd.exe /c calc.exe). - Anexe o LNK como um ADS a
innocuous.pdfdentro do RAR. - Entregue o RAR para a vítima.
- Execute a extração do WinRAR para o diretório de Inicialização.
- Crie a carga útil maliciosa LNK (um atalho que lança
-
Script de Teste de Regressão:
# -------------------------------------------------------------- # Script PowerShell para simular persistência LNK-ADS CVE‑2025‑8088 # -------------------------------------------------------------- # 1. Variáveis $tempDir = "$envTEMPLNK_ADS_Test" $pdfPath = "$tempDirinnocuous.pdf" $lnkPath = "$tempDirmalicious.lnk" $rarPath = "$tempDirmalicious.rar" $startupPath = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup" # Assegure um espaço de trabalho limpo Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue New-Item -ItemType Directory -Path $tempDir | Out-Null # 2. Crie um PDF fictício (arquivo vazio funciona para demonstração de ADS) New-Item -ItemType File -Path $pdfPath | Out-Null # 3. Crie LNK malicioso apontando para a calculadora $ws = New-Object -ComObject WScript.Shell $shortcut = $ws.CreateShortcut($lnkPath) $shortcut.TargetPath = "calc.exe" $shortcut.WindowStyle = 1 $shortcut.Save() # 4. Empacote PDF e anexe LNK como ADS usando CLI do WinRAR # A sintaxe cria um ADS chamado "malicious.lnk" anexado ao PDF. & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk" # 5. Extraia RAR diretamente para a pasta de Inicialização (modo silencioso) & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath # 6. Verifique se o LNK agora existe no Startup (será visível como um .lnk regular) $extractedLnk = Join-Path $startupPath "malicious.lnk" if (Test-Path $extractedLnk) { Write-Host "[+] Atalho malicioso implantado no Startup: $extractedLnk" } else { Write-Error "[-] Atalho não encontrado – a extração pode ter falhado." } # -------------------------------------------------------------- # Fim do script # -------------------------------------------------------------- -
Comandos de Limpeza:
# Remova o atalho malicioso do Startup $lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk" if (Test-Path $lnk) { Remove-Item -Force $lnk } # Delete arquivos e diretórios temporários $temp = "$envTEMPLNK_ADS_Test" if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }
Fim do Relatório