Martedi 07 Luglio 2026 02:34:06 GMT+02:00

Netcrook

HomeManifesto
News
Techcrook
Geocrook
WikicrookTeamAppContatti
ItalianoEnglishArabic

Vulnerabilities & Patch Management

Dentro la trappola di WinRAR: come gli hacker hanno trasformato un semplice strumento per file in una miniera d’oro per il cybercrimine

Pubblicato: 28 Gennaio 2026 13:44Categoria: Vulnerabilities & Patch ManagementArea: EuropeAutore: KERNELWATCHER

Sottotitolo: Una vulnerabilità critica di WinRAR sta alimentando un’impennata globale di attacchi informatici, collegando spionaggio e sindacati criminali in un gioco ad alto rischio di sfruttamento digitale.

Tutto è iniziato con un archivio apparentemente innocuo. Dietro la familiare estensione .rar, però, si nascondeva una bomba a orologeria-una che governi, cybercriminali e hacker sponsorizzati dagli Stati erano tutti ansiosi di utilizzare. Nell’estate del 2025, un difetto critico in WinRAR, lo strumento di compressione più amato al mondo, è diventato il fulcro di una vasta offensiva informatica. Come rivela il Threat Intelligence Group di Google, lo sfruttamento di CVE-2025-8088 non è solo una storia di svista tecnica, ma un caso di studio su come le vulnerabilità vengano trasformate in armi su scala globale.

Fatti rapidi

  • La vulnerabilità di WinRAR CVE-2025-8088 (CVSS 8.8) è stata corretta il 30 luglio 2025, ma continua a essere ampiamente sfruttata.
  • Gruppi sostenuti da Russia e Cina, oltre a cybercriminali mossi da motivazioni economiche, hanno usato il difetto per distribuire malware e ransomware.
  • Gli attaccanti sfruttano il path traversal per depositare file malevoli nella cartella di avvio di Windows, così da eseguirli automaticamente.
  • Nei forum underground sono stati venduti exploit per WinRAR a migliaia di dollari, rendendo gli attacchi accessibili anche ad attori meno sofisticati.
  • Il malware veicolato tramite questo difetto include ladri di credenziali bancarie, RAT e strumenti di spionaggio che prendono di mira Ucraina, Brasile e oltre.

Scoperta e corretta da ESET nel luglio 2025, CVE-2025-8088 è una vulnerabilità di path traversal che consentiva agli attaccanti di introdurre di nascosto file malevoli in aree sensibili del sistema della vittima-soprattutto nella cartella di avvio di Windows. Una volta che l’utente apriva un archivio trappola, il payload veniva impostato per eseguirsi automaticamente al successivo riavvio del computer. Il risultato? Accesso immediato per gli hacker, con poca o nessuna consapevolezza da parte dell’utente.

Lo sfruttamento è iniziato rapidamente. Il gruppo RomCom (tracciato anche come CIGAR o UNC4895) stava già usando il difetto come zero-day per distribuire il malware SnipBot prima ancora che venisse emesso un avviso pubblico. Ben presto, una serie di attori russi è entrata in scena: Sandworm, che puntava a obiettivi ucraini con file ingannevoli; Gamaredon, che colpiva sistemi governativi con downloader basati su HTML; e Turla, che attirava utenti militari inducendoli a eseguire il malware STOCKSTAY. E per non essere da meno, un gruppo con base in Cina ha sfruttato lo stesso bug per installare il famigerato RAT Poison Ivy.

Ma lo sfruttamento non si è fermato allo spionaggio. Hacker motivati dal profitto hanno adottato rapidamente la tecnica, distribuendo RAT “commodity” come AsyncRAT e XWorm, e sviluppando persino estensioni malevole di Chrome per sottrarre credenziali bancarie agli utenti brasiliani. Il fiorente mercato degli exploit per WinRAR, esemplificato dal venditore “zeroplayer”, ha fatto sì che anche criminali meno esperti potessero partecipare-trasformando una singola vulnerabilità in un tutti-contro-tutti del cybercrimine.

Il caso di CVE-2025-8088 è un duro promemoria: applicare le patch da solo non basta. Finché gli utenti resteranno indietro con gli aggiornamenti e gli attaccanti potranno acquistare exploit pronti all’uso, il sottobosco digitale continuerà a trasformare semplici difetti software in minacce globali.

Conclusione

La saga di WinRAR non riguarda solo un bug-riguarda l’industrializzazione del cybercrimine e dello spionaggio. Con le vulnerabilità ormai mercificate, il confine tra hacker sponsorizzati dagli Stati e comuni cybercriminali è più sfumato che mai. Per i difensori e per gli utenti di tutti i giorni, vigilanza e aggiornamenti tempestivi sono più cruciali che mai in questa corsa agli armamenti digitale ad alto rischio.

WIKICROOK

  • Path Traversal: Il Path Traversal è una falla di sicurezza in cui gli attaccanti manipolano i percorsi dei file per accedere a file o dati al di fuori dei confini previsti di un sistema.
  • Zero: Una vulnerabilità zero-day è una falla di sicurezza nascosta, sconosciuta al produttore del software, per la quale non esiste ancora una correzione, rendendola altamente preziosa e pericolosa per gli attaccanti.
  • RAT (Remote Access Trojan): Un RAT (Remote Access Trojan) è un malware che consente agli attaccanti di controllare segretamente da remoto il dispositivo di una vittima, accedendo a file e funzioni di sistema.
  • Alternate Data Stream (ADS): Gli Alternate Data Streams (ADS) permettono di memorizzare dati nascosti nei file di Windows, spesso usati dagli attaccanti per occultare malware o informazioni sensibili.
  • Punteggio CVSS: Un punteggio CVSS valuta la gravità delle vulnerabilità di sicurezza da 0 a 10, con numeri più alti che indicano maggiore rischio e urgenza di risposta.