SOC Prime Bias: Crítico

28 Jan 2026 13:07 UTC

CVE-2025-8088: Atores de Ameaça Diversificados Exploram uma Falha Crítica no WinRAR

Author Photo
Ruslan Mikhalov Chief of Threat Research at SOC Prime linkedin icon Seguir
CVE-2025-8088: Atores de Ameaça Diversificados Exploram uma Falha Crítica no WinRAR
shield icon

Detection stack

  • AIDR
  • Alert
  • ETL
  • Query

Resumo

O Grupo de Inteligência de Ameaças do Google relata uma ampla exploração da CVE-2025-8088, uma falha de travessia de caminho de alta severidade no WinRAR. Adversários a usam para colocar arquivos maliciosos na pasta de Inicialização do Windows para obter persistência. Grupos patrocinados por estados e grupos com motivação financeira estão aproveitando a exploração para entregar RATs, downloaders e cargas sucessivas. O relatório compartilha indicadores, além de orientações de detecção e mitigação.

Investigação

Pesquisadores vincularam vários atores—UNC4895, APT44, Turla e um grupo baseado na RPC—a arquivos RAR criados que abusam de Fluxos de Dados Alternativos (ADS) para soltar arquivos LNK, HTA ou BAT na Inicialização. Alguns arquivos prepararam manipuladores LNK que lançam HTA ou BAT no logon. Famílias de malware observadas incluem NESTPACKER, POISONIVY, XWorm e AsyncRAT. Infraestrutura compartilhada e código de exploração reutilizado apareceram em campanhas direcionadas à Ucrânia e outras regiões.

Mitigação

Atualize o WinRAR para 7.13+ e aplique listas de permissão de aplicativos. Reduza a exposição de ADS onde possível e monitore a pasta de Inicialização para novos arquivos LNK, HTA, BAT ou scripts. Aplique o Google Safe Browsing e controles de segurança de e-mail para interromper arquivos de arquivo maliciosos mais cedo.

Resposta

Detecte a criação de arquivos no caminho de Inicialização relacionada à extração de RAR, especialmente atalhos e scripts. Correlacione alertas com nomes de arquivos e hashes conhecidos, isole hosts afetados, confirme a família de malware e remova a persistência de Inicialização durante a resposta a incidentes.

Fluxo de Ataque

Execução da Simulação

Pré-requisito: O Cheque Prévio de Telemetria e Base deve ter sido aprovado.

Justificativa: Esta seção detalha a execução precisa da técnica do adversário (TTP) projetada para acionar a regra de detecção. Os comandos e a narrativa DEVEM refletir diretamente os TTPs identificados e visam gerar a telemetria exata esperada pela lógica de detecção.

  • Narrativa e Comandos de Ataque:
    Um invasor cria um arquivo RAR malicioso que incorpora um atalho do Windows (malicious.lnk) como um Fluxo de Dados Alternativo anexado a um PDF de aparência inofensiva (innocuous.pdf). Aproveitando a CVE‑2025‑8088, o atacante sabe que o WinRAR extrairá o ADS diretamente no caminho de destino sem sanitizar o nome do fluxo. O arquivo é entregue à máquina da vítima (por exemplo, via phishing). O atacante então executa o WinRAR em modo silencioso para extrair a carga diretamente na pasta de Inicialização do usuário atual, alcançando persistência.

    1. Crie a carga útil maliciosa LNK (um atalho que lança cmd.exe /c calc.exe).
    2. Anexe o LNK como um ADS a innocuous.pdf dentro do RAR.
    3. Entregue o RAR para a vítima.
    4. Execute a extração do WinRAR para o diretório de Inicialização.
  • Script de Teste de Regressão:

    # --------------------------------------------------------------
    # Script PowerShell para simular persistência LNK-ADS CVE‑2025‑8088
    # --------------------------------------------------------------
    
    # 1. Variáveis
    $tempDir      = "$envTEMPLNK_ADS_Test"
    $pdfPath      = "$tempDirinnocuous.pdf"
    $lnkPath      = "$tempDirmalicious.lnk"
    $rarPath      = "$tempDirmalicious.rar"
    $startupPath  = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartup"
    
    # Assegure um espaço de trabalho limpo
    Remove-Item -Recurse -Force $tempDir -ErrorAction SilentlyContinue
    New-Item -ItemType Directory -Path $tempDir | Out-Null
    
    # 2. Crie um PDF fictício (arquivo vazio funciona para demonstração de ADS)
    New-Item -ItemType File -Path $pdfPath | Out-Null
    
    # 3. Crie LNK malicioso apontando para a calculadora
    $ws = New-Object -ComObject WScript.Shell
    $shortcut = $ws.CreateShortcut($lnkPath)
    $shortcut.TargetPath = "calc.exe"
    $shortcut.WindowStyle = 1
    $shortcut.Save()
    
    # 4. Empacote PDF e anexe LNK como ADS usando CLI do WinRAR
    #    A sintaxe cria um ADS chamado "malicious.lnk" anexado ao PDF.
    & "C:Program FilesWinRARWinRAR.exe" a -df $rarPath $pdfPath "$lnkPath:malicious.lnk"
    
    # 5. Extraia RAR diretamente para a pasta de Inicialização (modo silencioso)
    & "C:Program FilesWinRARWinRAR.exe" x -inul $rarPath $startupPath
    
    # 6. Verifique se o LNK agora existe no Startup (será visível como um .lnk regular)
    $extractedLnk = Join-Path $startupPath "malicious.lnk"
    if (Test-Path $extractedLnk) {
        Write-Host "[+] Atalho malicioso implantado no Startup: $extractedLnk"
    } else {
        Write-Error "[-] Atalho não encontrado – a extração pode ter falhado."
    }
    
    # --------------------------------------------------------------
    # Fim do script
    # --------------------------------------------------------------
  • Comandos de Limpeza:

    # Remova o atalho malicioso do Startup
    $lnk = "$envAPPDATAMicrosoftWindowsStart MenuProgramsStartupmalicious.lnk"
    if (Test-Path $lnk) { Remove-Item -Force $lnk }
    
    # Delete arquivos e diretórios temporários
    $temp = "$envTEMPLNK_ADS_Test"
    if (Test-Path $temp) { Remove-Item -Recurse -Force $temp }

Fim do Relatório