A fine luglio è stata rilasciata la versione 7.13 di WinRAR che corregge una vulnerabilità zero-day. I ricercatori di ESET, che avevano segnalato il problema, hanno ora scoperto che i cybercriminali russi del gruppo RomCom sfruttano il bug per distribuire tre distinti malware. Gli utenti devono quindi aggiornare subito il software.
Mythic, SnipBot e RustyClaw
Gli esperti di ESET hanno trovato una DLL infetta (msedge.dll) in un archivio RAR contenente un percorso insolito. Dopo l’analisi approfondita è stata individuata una vulnerabilità zero-day in WinRAR 7.12, indicata con CVE-2025-8088, che consente di copiare malware nelle directory di esecuzione automatica. L’exploit sfrutta gli ADS (Alternate Data Stream) del file system NTFS di Windows. Il tipo di vulnerabilità è nota come path traversal o directory traversal.
I cybercriminali inviano un’email alle potenziali vittime. In allegato c’è un archivio RAR che contiene un file LNK (copiato nella directory Startup) e un file DLL o EXE (copiato nelle directory %TEMP% o %LOCALAPPDATA%). Nell’archivio è visibile solo un file PDF.
Il gruppo RomCom ha sfruttato la vulnerabilità per distribuire tre malware. Il primo è Mythic. Il file LNK (Updater.lnk) aggiunge una chiave nel registro che punta al file infetto msedge.dll presente nella directory %TEMP%. Quando l’utente esegue Microsoft Edge viene caricata la DLL che decifra uno shellcode. Quest’ultimo esegue l’agente Mythic che comunica con il server C&C (command and control).
Il secondo malware è SnipBot. Il file LNK (Display Settings.lnk) esegue ApbxHelper.exe nella directory %LOCALAPPDATA%. Si tratta di una versione modificata di PuTTY CAC che esegue SnipBot e scarica altri payload dal server remoto.
Il terzo malware è RustyClaw. Il file LNK (Settings.lnk) esegue Complaint.exe nella directory %LOCALAPPDATA%. Si tratta di RustyClaw, un download che scarica altri payload dal server remoto.
ESET ha contattato lo sviluppatore di WinRAR il 24 luglio. Il fix è stato quindi incluso lo stesso giorno nella versione 7.13 beta 1 e il 30 luglio nella versione finale.
