Allarme WinRAR: vulnerabilità zero-day sfruttata da hacker internazionali

Allarme WinRAR: vulnerabilità zero-day sfruttata

Una grave vulnerabilità zero-day recentemente scoperta in WinRAR mette a rischio la sicurezza di utenti e aziende in tutto il mondo. Due potenti gruppi hacker — uno collegato alla Russia (RomCom) e uno noto come Paper Werewolf — stanno sfruttando questa falla per condurre campagne di phishing sofisticate e mirate verso organizzazioni nei settori finanziario, manifatturiero, difesa e logistica in Europa, Canada e Russia. Aggiornare immediatamente WinRAR all’ultima versione disponibile (7.13 o successiva), evitare di aprire allegati sospetti ricevuti via email e diffidare di archivi RAR di origine sconosciuta sono le prime contromisure fondamentali per limitare i rischi.

Cos’è successo: il caso della vulnerabilità zero-day in WinRAR

Alla fine di luglio 2025, i ricercatori di ESET hanno scoperto e reso pubblica una vulnerabilità critica nel famoso programma di compressione dati WinRAR, catalogata come CVE-2025-8088. Questa falla, con un livello di gravità molto alto (CVSS 8.8), consente agli hacker di manipolare i percorsi di estrazione dei file archiviati. In pratica, tramite archivi RAR opportunamente creati, è possibile far sì che i file dannosi vengano estratti e posizionati in cartelle di sistema sensibili — come, ad esempio, la directory di avvio automatico di Windows — aggirando le protezioni e potenzialmente garantendo agli attacker l’esecuzione di codice malevolo al prossimo riavvio o accesso dell’utente.

Questa tipologia di attacco viene definita “path traversal” o “directory traversal” e sfrutta vulnerabilità comuni a molte applicazioni che gestiscono file: i cybercriminali creano archivi che includono file con percorsi manipolati, in modo da farli sbucare in punti non previsti e normalmente protetti del sistema operativo.

Il 30 luglio 2025, WinRAR ha rilasciato la versione 7.13, che corregge definitivamente la falla. Tuttavia, in quei giorni la vulnerabilità era già attivamente sfruttata in diversi attacchi informatici di alto profilo.

Attacchi mirati: chi colpisce e come

Due campagne distinte, attribuite rispettivamente ai gruppi RomCom (collegato alla Russia) e Paper Werewolf, hanno già utilizzato la falla zero-day:

  • RomCom: il gruppo ha colpito organizzazioni finanziarie, manifatturiere, della difesa e della logistica in Europa e Canada tra il 18 e il 21 luglio 2025. Gli hacker hanno inviato email di phishing mascherate da candidature lavorative, con allegati RAR apparentemente innocui. Questi archivi, se aperti e estratti con una versione vulnerabile di WinRAR, depositavano file malevoli in cartelle di sistema. Sono stati identificati almeno tre diversi “attack chain” (catene di infezione): una tramite esecuzione di DLL nascoste, una con un eseguibile modificato di PuTTY (un popolare tool di amministrazione remoto), e una tramite un “downloader” scritto in Rust, programmato per scaricare altri payload una volta attivo. Tutte le catene avevano lo scopo di eludere i controlli di sicurezza e mantenere la persistenza nel sistema della vittima.
  • Paper Werewolf: questo gruppo ha preso di mira enti russi, inviando email provenienti da finti ricercatori o ministeri, sempre con l’allegato RAR per veicolare il malware. È emerso che un presunto exploit zero-day per WinRAR era stato messo in vendita sul dark web il 7 luglio 2025 da un utente chiamato “zeroplayer”, a dimostrazione dell’interesse e del valore commerciale di questa vulnerabilità tra i cyber criminali.

Al momento, non risultano compromissioni conclamate su larga scala ma la pubblicazione della patch e dei dettagli tecnici può spingere altri gruppi a tentare nuove campagne basate sulla stessa tecnica.

Target e modalità di infezione

Le vittime principali finora sono grandi organizzazioni internazionali, ma non si esclude che la portata degli attacchi possa estendersi anche a utenti privati, data la diffusione di WinRAR a livello globale.

Le strategie sfruttate includono:

  • Spear phishing: attacchi altamente mirati con email personalizzate che imitano comunicazioni attendibili (ad esempio, curriculum per assunzioni o lettere di enti ufficiali).
  • Archivi RAR malevoli: all’interno dei file compressi si celano file .DLL o .LNK (collegamenti di Windows) progettati per essere copiati in cartelle strategiche, come quella dell’avvio automatico.
  • Tecniche anti-analisi: verifica dell’ambiente di estrazione per evitare di eseguire il malware in sandbox o macchine virtuali utilizzate dagli analisti di sicurezza.

Gli aggressori puntano a ottenere il controllo remoto del computer della vittima, installare backdoor per furto di dati o impersonare l’utente per ulteriori truffe.

Conseguenze e rischi

Le conseguenze di un’infezione tramite questa vulnerabilità sono potenzialmente gravi:

  • Installazione nascosta di malware con privilegi elevati.
  • Furto di dati sensibili, credenziali, documenti aziendali.
  • Utilizzo del sistema compromesso per ulteriori attacchi a catena (es. ransomware, campagne di spionaggio).
  • Danneggiamento di infrastrutture critiche aziendali, con impatti economici e reputazionali.

Cronistoria della vulnerabilità: come si è arrivati alla patch

L’exploit è stato individuato dai ricercatori ESET a metà luglio 2025 dopo la registrazione di campagne di phishing con allegati sospetti. L’analisi degli archivi RAR ha permesso di ricostruire la modalità di attacco e la catena di infezione. Dopo la segnalazione immediata agli sviluppatori, WinRAR ha rilasciato la correzione (versione 7.13) il 30 luglio 2025, a meno di due settimane dalla scoperta.

Va segnalato che questa è la seconda falla critica in WinRAR sfruttata attivamente in meno di due anni: nel 2023, una vulnerabilità simile (CVE-2023-38831) era stata impiegata da hacker di Russia e Cina.

Diffusione e rischio per gli utenti comuni

WinRAR è uno degli strumenti di compressione più utilizzati sia in ambito aziendale che domestico. La presenza di file compressi e la pratica di ricevere archivi tramite email o download sono molto comuni. Questo rende la vulnerabilità estremamente pericolosa, poiché un utente medio potrebbe cadere facilmente vittima senza sospettare di nulla. Il rischio aumenta se il programma non viene aggiornato regolarmente o se si utilizzano versioni piratate (che tipicamente non ricevono aggiornamenti automatici).

Cosa fare subito: azioni essenziali

  • Aggiorna subito WinRAR alla versione 7.13 o superiore.
  • Verifica la versione attuale avviando WinRAR e seguendo il percorso Menu → Aiuto → Informazioni su WinRAR.
  • Non aprire archivi RAR ricevuti via email da mittenti sconosciuti o inattesi, anche se sembrano provenire da aziende o istituzioni affidabili.
  • Se non hai bisogno di utilizzare WinRAR, valuta di disinstallarlo temporaneamente.
  • Abilita sempre le protezioni antivirus e antimalware e assicurati che siano aggiornate.

Analisi tecnica della vulnerabilità (per utenti avanzati)

La CVE-2025-8088 sfrutta un errore nella gestione dei percorsi di estrazione dei file. Gli archivi RAR malevoli possono includere file con un percorso che naviga fuori dalla destinazione di default (“directory traversal”), ad esempio utilizzando sequenze come ....WindowsStart MenuProgramsStartup. Se il file viene estratto senza controlli, può essere posizionato nella cartella di esecuzione automatica di Windows, dove verrà eseguito al prossimo avvio del sistema.

Il codice dannoso spesso si presenta sotto forma di DLL (librerie dinamiche di Windows) o shortcut (.lnk): una volta attivate, queste possono caricare backdoor, stealer di credenziali o altri malware, mantenendo la persistenza anche contro i tentativi di bonifica.

Prevenzione a lungo termine

La storia degli ultimi anni insegna che le vulnerabilità nei software di uso quotidiano vengono rapidamente sfruttate da cybercriminali esperti. La rapidità nel distribuire le patch e nell’applicarle resta la difesa principale, insieme alle buone pratiche di sicurezza digitali.

Consigli/azioni approfondite:

  • Imposta la ricezione automatica di aggiornamenti per tutti i software installati, in particolare quelli di uso quotidiano e di largo impiego (come WinRAR, browser, client email).
  • Utilizza soluzioni di sicurezza avanzate con analisi comportamentale per rilevare tentativi anomali di scrittura/estrazione file da parte di applicazioni potenzialmente compromesse.
  • I responsabili IT dovrebbero applicare policy restrittive sull’uso di archivi compressi, soprattutto nelle reti aziendali critiche e settori sensibili.
  • Effettua backup regolari dei dati più importanti, conservandoli su unità non collegate permanentemente alla rete per evitarne la cifratura o la cancellazione da parte di malware.
  • Partecipa a programmi di formazione periodica su phishing e ingegneria sociale per tutti i dipendenti, aumentando la consapevolezza contro le sofisticate campagne di frode che spesso accompagnano questi attacchi.
  • In caso di sospetto, isola immediatamente la macchina dalla rete e contatta un esperto di sicurezza per una verifica approfondita.

La sicurezza digitale richiede attenzione costante: essere rapidi nel reagire alle nuove minacce è fondamentale per evitare danni irreparabili.

Fonte: https://cybersecuritynews.com/bitter-apt-hackers-exploit-winrar-zero-day

Potrebbero interessarti

Inizia a scrivere e premi Invio per cercare

Torna in alto