Google emite alerta sobre ataque em massa à falha crítica no WinRAR: usuários ainda estão expostos
A Google voltou os holofotes para uma vulnerabilidade crítica no WinRAR, catalogada como CVE-2025-8088, que está sendo explorada de forma ativa e em larga escala por grupos criminosos e agentes estatais. Embora a falha tenha sido identificada e corrigida em julho de 2025, muitos usuários e empresas ainda não aplicaram a atualização, mantendo um cenário altamente favorável para ataques.
Com pontuação 8,8 no CVSS, a vulnerabilidade permite que arquivos maliciosos, ao serem extraídos, sejam automaticamente colocados na pasta de inicialização do Windows. O resultado é a execução silenciosa de códigos maliciosos assim que o sistema é reiniciado, sem qualquer interação adicional da vítima e, na maioria das vezes, sem que ela sequer desconfie de algo errado.
O vetor de ataque mais comum observado envolve arquivos RAR especialmente manipulados para camuflar atalhos maliciosos (arquivos LNK) ou scripts perigosos em meio a documentos aparentemente legítimos, como PDFs, planilhas ou imagens. A vítima, acreditando estar apenas extraindo um arquivo comum, acaba instalando um malware com capacidade de controle remoto, espionagem ou roubo de dados sensíveis.
Entre os grupos que têm tirado proveito dessa brecha, destaca-se o RomCom, já conhecido por conduzir campanhas de espionagem e por utilizar o malware SnipBot. Além dele, outros atores avançados associados a operações de ciberespionagem ligadas à Rússia, como Sandworm, Gamaredon e Turla, vêm explorando ativamente a CVE-2025-8088, com foco especial em alvos relacionados à Ucrânia e a infraestruturas estratégicas.
A ameaça não se limita ao cenário russo. Investigações também apontam para a atuação de um grupo ligado à China, responsável pela disseminação do trojan Poison Ivy por meio de scripts maliciosos escondidos em arquivos RAR armadilhados. Esse tipo de malware é conhecido por prover acesso remoto ao sistema comprometido, permitindo o roubo de credenciais, movimentação lateral na rede e instalação de outras ferramentas maliciosas.
Além da espionagem patrocinada por Estados, cibercriminosos com motivações puramente financeiras também viram na falha do WinRAR uma oportunidade valiosa. A vulnerabilidade tem sido utilizada para instalar trojans de acesso remoto como AsyncRAT e XWorm, amplamente empregados em campanhas de roubo de dados bancários, sequestro de contas e instalação de ransomware em empresas de diferentes portes.
Em algumas campanhas, após o comprometimento inicial via arquivo RAR malicioso, os atacantes passaram a instalar extensões maliciosas no navegador Chrome, usadas para interceptar sessões bancárias, desviar transferências e manipular transações em tempo real. Usuários brasileiros estão entre os principais alvos desse tipo de fraude, especialmente aqueles que utilizam computadores pessoais para acesso a contas corporativas, home office ou internet banking.
O quadro se agrava porque a exploração se popularizou rapidamente em mercados clandestinos dedicados à venda de exploits e kits de ataque. Fornecedores especializados passaram a oferecer pacotes prontos para uso, reduzindo o nível técnico necessário para que criminosos menos experientes consigam explorar a CVE-2025-8088. Um desses vendedores, identificado pelo pseudônimo “zeroplayer”, chegou a comercializar o exploit antes mesmo da publicação oficial da vulnerabilidade, o que indica que alguns grupos já exploravam a falha de forma silenciosa antes da divulgação pública.
Mesmo após a disponibilização do patch corretivo, o problema permanece amplamente explorável. Muitos usuários ainda utilizam versões antigas do WinRAR, anteriores à 7.13, que são diretamente vulneráveis. Em ambientes corporativos, onde a atualização de software costuma depender de processos formais e aprovação de equipes de TI, o atraso é ainda maior, prolongando a janela de exposição.
Para entender a gravidade, é importante lembrar que o WinRAR continua sendo um dos utilitários de compactação de arquivos mais usados no mundo, inclusive em órgãos públicos, pequenas empresas e computadores pessoais. Em muitos casos, ele está instalado há anos, sem qualquer atualização ou atenção à versão em uso. Esse hábito de “instalar uma vez e esquecer” cria o cenário perfeito para a exploração de falhas críticas como a CVE-2025-8088.
Do ponto de vista técnico, a exploração se apoia na forma como o WinRAR lida com caminhos e diretórios internos durante a extração. Ao manipular nomes de arquivos e estrutura de pastas dentro do arquivo RAR, o atacante consegue fazer com que o conteúdo malicioso seja colocado diretamente na pasta de inicialização do Windows ou em outros locais estratégicos. Assim, um simples duplo clique em um arquivo aparentemente confiável pode inaugurar uma cadeia de compromissos que culmina no controle total da máquina.
A Google destaca que a falha tem sido usada principalmente como vetor de acesso inicial em campanhas mais complexas. Depois de ganhar o primeiro ponto de apoio no sistema, os atacantes costumam baixar módulos adicionais, roubar senhas salvas no navegador, mapear a rede interna, buscar arquivos confidenciais e, em alguns casos, negociar acesso com outros grupos especializados, como operadores de ransomware.
Para usuários finais, o principal risco é o roubo de credenciais (especialmente bancárias e de e-mail), a perda de dados pessoais e o uso do computador como parte de uma infraestrutura criminosa. Já para empresas, as consequências podem ser significativamente mais graves: vazamento de informações estratégicas, interrupção de operações, chantagem financeira e danos à reputação.
A situação é ainda mais sensível em países que não possuem marcos regulatórios robustos de responsabilização por incidentes cibernéticos em infraestruturas críticas. Nesse contexto, o Brasil se destaca negativamente. A ausência de regras claras sobre responsabilidade, notificação obrigatória de incidentes e padrões mínimos de segurança em setores como energia, telecomunicações, saneamento e transporte faz com que vulnerabilidades aparentemente “domésticas”, como uma falha em um software de compressão, possam se transformar em porta de entrada para ataques a serviços essenciais.
Outro ponto de atenção é o papel de empresas de cibersegurança sem qualificação real, que se aproveitam do aumento da preocupação com ataques para vender soluções ineficazes ou superficiais. Muitas prometem “proteção total” sem sequer abordar o básico: inventário de softwares, política de atualização constante, gestão de vulnerabilidades e treinamento contínuo de usuários. Em cenários como o da CVE-2025-8088, isso significa que organizações podem estar pagando por uma falsa sensação de segurança enquanto continuam usando versões desatualizadas e vulneráveis de ferramentas amplamente disseminadas.
Para mitigar o risco associado a essa falha, a primeira medida indispensável é atualizar o WinRAR para a versão 7.13 ou superior em todos os dispositivos, pessoais e corporativos. Empresas devem realizar um inventário completo de estações de trabalho e servidores, verificando não apenas o WinRAR, mas também outros utilitários de compressão que possam compartilhar vulnerabilidades semelhantes ou serem utilizados como substitutos sem avaliação de segurança.
Também é fundamental reforçar boas práticas de higiene digital: desconfiar de arquivos RAR recebidos por e-mail, mensageiros ou downloads de sites desconhecidos; evitar abrir anexos não solicitados; e suspeitar de qualquer arquivo compactado que exija etapas adicionais “estranhas” para acesso ao conteúdo. Em ambientes corporativos, a adoção de ferramentas de análise de e-mail, sandboxing para arquivos suspeitos e filtros de reputação pode reduzir significativamente a chance de que um arquivo malicioso chegue ao usuário final.
Outro pilar é a educação contínua. Campanhas de conscientização voltadas para colaboradores e usuários domésticos devem explicar, de forma simples e objetiva, que softwares como WinRAR também precisam ser atualizados e que não apenas o sistema operacional ou o antivírus demandam atenção. Muitas infecções começam justamente por programas auxiliares esquecidos na rotina, como leitores de PDF, descompactadores de arquivos e plugins de navegador.
Para equipes técnicas, vale a pena incorporar a CVE-2025-8088 ao ciclo de gestão de vulnerabilidades da organização, tratando-a como prioridade alta. Isso inclui monitorar logs de segurança em busca de extrações suspeitas, analisar eventos ligados a criação de arquivos na pasta de inicialização do Windows e verificar a presença de trojans conhecidos associados à exploração dessa falha, como AsyncRAT, XWorm, SnipBot e Poison Ivy.
O caso da vulnerabilidade crítica no WinRAR reforça uma lição recorrente na segurança digital: muitas vezes, o elo mais perigoso não é um sistema complexo ou um dispositivo industrial sofisticado, mas um software comum, amplamente difundido e negligenciado em termos de atualização. Enquanto usuários e organizações não adotarem uma cultura de manutenção contínua, vulnerabilidades como a CVE-2025-8088 continuarão a ser exploradas de forma massiva por criminosos comuns e por agentes estatais, com impactos que podem ir muito além de um único computador comprometido.