Nos últimos meses, uma regra triste voltou a ser verificada, mas certa do mundo da cibersegurança: uma só vulnerabilidade bem aproveitada pode abrir muitas portas. A falha conhecida como CVE-2025-8088 em WinRAR, uma falha de percurso combinado com o uso das chamadas Alternate Data Streams (ADS) do NTFS, foi explorada tanto por grupos com apoio estatal como por bandas de cibercriminais orientadas para o lucro, e o resultado foi a entrega de todo tipo de malware com objetivos e técnicas muito diferentes.
Para entender por que esta falha causou tanto revolta, há que esclarecer primeiro o que são os ADS. Em sistemas de arquivos NTFS, existe a possibilidade de anexar fluxos de dados alternativos a um mesmo ficheiro; são invisíveis ao usuário típico e foram usados legitimamente durante anos, mas também podem ser usados para ocultar código malicioso dentro de um arquivo aparentemente inocuo. A Microsoft dedica documentação técnica a essas estruturas em seu site de desenvolvimento, e é um bom ponto de partida para compreender o problema: Alternate Data Streams (Microsoft).
O vetor de exploração descrito pelos investigadores consiste em criar um ficheiro de ficheiro (por exemplo, um .rar) que contém um documento legítimo que serve de senheiro e, juntamente com ele, entradas ADS com cargas ocultas. Quando o WinRAR extrai o conteúdo, uma má validação de rotas permite levar estes itens ADS fora do recipiente e escrever em locais arbitrários do sistema, incluindo pastas de início automático. Essas cargas geralmente materializar-se como acessos diretos (.LNK), arquivos HTA, scripts .BAT/.CMD ou pequenos downloaders que são executados ao iniciar sessão no Windows, concedendo persistência ao atacante de forma silenciosa.
A primeira notificação pública sobre uso ativo deste falha veio de pesquisadores da ESET que identificaram ataques atribuídos a um grupo alinhado com a Rússia conhecido como RomCom (também chamado CIGAR ou UNC4895). Posteriormente, a equipe de inteligência de ameaças do Google documentou que as explorações começaram a se observar desde meados de julho de 2025 e que a atividade continua, protagonizada tanto por atores estatais como por atores criminosos que perseguem lucro econômico. A análise do Google pode ser consultada com mais detalhes técnicos e exemplos em sua publicação: Google Threat Intelligence Group — Exploiting a critical WinRAR vulnerability.
Os esquemas observados são variados. Entre as campanhas com motivação de espionagem foram documentadas remessas direcionadas a unidades militares ucranianas com cogumelos em língua ucraniana, implantaçãos de famílias de malware como STOCKSTAY ou NESTPACKER (também conhecido como Snipbot), e colocação de downloads HTA em pastas de início que mantêm acesso persistente mesmo depois de reinícios. Outros atores ligados à China aproveitaram a mesma rota para deixar arquivos em lote (.BAT) que por sua vez descarregam e ativam componentes como POISONIVY. Em paralelo, bandas de cibercrime usaram a vulnerabilidade para distribuir ferramentas de acesso remoto e troianos de informação como XWorm ou AsyncRAT, extensões de navegador maliciosas orientadas para roubo bancário e portas traseiras controladas por bots do Telegram.
Um dos factores que facilita esta propagação é a existência de um mercado de exploits: vendedores especializados oferecem a terceiras partes código funcional para explorar vulnerabilidades por preços que, segundo os relatórios, podem ser muito elevados. Google e outras assinaturas de segurança interpretam essa dinâmica como a mercantilização de exploits, um fenômeno que reduz a barreira técnica para que atores menos sofisticados realizem ataques efetivos contra sistemas sem adesivo.
Do ponto de vista defensivo, a recomendação mais direta é aplicar adesivos quanto antes: se você tiver WinRAR instalado, procura e atualiza a versão corrigida pelo fornecedor. Além disso, é conveniente reduzir a exposição a este vetor, evitando a abertura de arquivos comprimidos recebidos de remetentes não verificados e configurando políticas que impeçam a execução automática de arquivos a partir de localizações de extracção temporárias ou a pasta de início sem supervisão. Ferramentas de proteção de endpoints capazes de detectar escrituras incomuns em pastas críticas e monitoramento de criação de acessos diretos e HTA também ajudam a detectar tentativas de persistência.
Organizações e administradores podem complementar essas medidas com controles de aplicação e restrição de permissões: manter privilégios limitados para contas de usuário, aplicar listas brancas de execução quando viável e atualizar mecanismos de detecção em soluções EDR/AV com as assinaturas e regras fornecidas pelos fornecedores. Para os responsáveis pela segurança pública e privada, é recomendável seguir os avisos e catálogos de vulnerabilidades ativas, como o da NVD para a própria entrada de CVE ( CVE-2025-8088 — NVD) e a recolha de vulnerabilidades exploradas ativamente que publica CISA ( CISA — KEV catalog).
Embora grande parte da atenção recai no WinRAR, o problema de fundo é mais amplo: os atacantes combinam técnicas de ocultação no sistema de arquivos com cadeias de exploração e serviços vendidos no mercado clandestino para conseguir acesso rápido e persistente a objetivos valiosos. A lição para administradores e usuários é clara: manter software atualizado, limitar a execução automática de conteúdos e complementar essas boas práticas com detecção e resposta coordenada reduz substancialmente o risco que representam falhas como CVE-2025-8088.
Para aqueles que querem aprofundar os indicadores e as táticas observadas pelos pesquisadores, os equipamentos ESET e Google publicam análises técnicas e contextuales que ajudam a identificar padrões e a projetar regras de detecção mais eficazes. A página de pesquisa ESET é um bom ponto para encontrar estudos relacionados: ESET — WeLiveSecurity, e o relatório do Google oferece exemplos concretos de como a cadeia de exploração é construída: GTIG — análise da exploração.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
RAMPART e Clarity redefinem a segurança dos agentes da IA com testes reprodutíveis e governança desde o início
A Microsoft apresentou duas ferramentas de código aberto, RAMPART e Clarity, que visam alterar a forma como a segurança dos agentes da IA é testada: uma máquina de computador e ...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...