){kind=small}
)
Pesquisadores de cibersegurança estão alertando usuários sobre uma exploração ativa em uma falha crítica no WinRAR, um dos compactadores de arquivos mais conhecidos no mundo. Identificada como CVE-2025-6218, a vulnerabilidade está sendo utilizada por pelo menos três grupos cibercriminosos em campanhas que miram de organizações governamentais a empresas financeiras.
A Agência de Segurança Cibernética e de Infraestrutura dos Estados Unidos (CISA) adicionou a falha ao seu catálogo de Vulnerabilidades Conhecidas Exploradas (KEV), na terça-feira (09), citando as evidências de exploração ativa e classificando a falha com uma pontuação de 7,8 na escala CVSS – o que indica uma alta gravidade.
Nossos vídeos em destaque
Como funciona a vulnerabilidade CVE-2025-6218 no WinRAR
A CVE-2025-6218 é uma falha conhecida como directory traversal, ou de travessia de caminho na tradução livre. Isso significa que ela permite que os criminosos executem um código arbitrário no sistema da vítima por meio dos caminhos de arquivo dentro dos arquivos compactados do WinRAR.
Basicamente, o software não valida corretamente os diretórios de destino durante a descompressão. Um caminho de arquivo manipulado pode fazer com que o processo navegue para diretórios não pretendidos, permitindo que arquivos maliciosos sejam colocados em locais sensíveis do sistema — como a pasta de Inicialização do Windows.
Para concluir a exploração, só é preciso que a vítima abra um arquivo compactado malicioso ou visite um site fraudulento. Uma vez que o arquivo é descompactado, o código pode ser executado automaticamente, sem precisar de permissões de administrador da máquina, por exemplo. Após a extração e o armazenamento nos caminhos manipulados, o código roda automaticamente, muitas vezes no próximo login do sistema.
Grupos cibercriminosos explorando a falha do WinRAR
Três grupos foram identificados explorando a CVE-2025-6218. O primeiro é o GOFFEE, também conhecido como Paper Werewolf, que é suspeito de combinar duas falhas do WinRAR, a nova CVE-2025-6218 e a CVE-2025-8088, para atacar organizações russas desde julho de 2025. As campanhas usam, como vetor inicial, e-mails de phishing.
O segundo é o Bitter – também conhecido como APT-C-08 ou Manlinghua – um grupo APT (de ameaças persistentes avançadas) focado no sul da Ásia. O grupo está armando a vulnerabilidade para facilitar persistência em hosts comprometidos e instalar trojans desenvolvidos em C#. As iscas são arquivos RAR com nomes chamativos, que contém um documento Word aparentemente inocente, mas possui um template de macro malicioso.
Resumidamente isso significa que, a vítima extrai o arquivo, abre e lê, sem muitas suspeitas ou itens estranhos. O que ela não vê é que, junto com o documento, vem um template malicioso que se instala na pasta de templates do Word – e toda vez que ela abrir o aplicativo, o código será executado em segundo plano. O principal risco, nesse caso, é a captura de senhas, o envio de arquivos diretamente para os criminosos e até mesmo a capacidade de tirar prints da tela da vítima – tudo pela característica do trojan ser desenvolvido em C#.
O arquivo malicioso compactado então instala um outro arquivo chamado Normal.dotm no caminho do template global do Microsoft Word. Como o Normal.dotm é um template global que carrega toda vez que o Word é aberto, ao substituir o arquivo legítimo, os atacantes garantem que seu código de macro malicioso seja executado automaticamente. Isso fornece uma porta dos fundos persistente que contorna o bloqueio padrão de macros de e-mail para documentos recebidos.
O terceiro grupo identificado é o Gamaredon, um conjunto russo que opera campanhas de phishing mirando instituições militares, governamentais, políticas e administrativas da Ucrânia. Eles foram identificados pela primeira vez no mês passado, tentando infectar sistemas com um malware chamado Pteranodon. Especialistas em cibersegurança acreditam que esse grupo opera com espionagem e sabotagem estruturada e orientada militarmente.
Como atualizar o WinRAR e se proteger da CVE-2025-6218
A RARLAB, empresa responsável pelo desenvolvimento do WinRAR, corrigiu a vulnerabilidade CVE-2025-6218 com o lançamento da versão 7.12 em junho de 2025. A atualização está disponível gratuitamente no site oficial. O problema é que o WinRAR não realiza atualizações automáticas, o que significa que milhões de usuários podem ainda estar rodando versões vulneráveis sem sequer saber.
A vulnerabilidade afeta apenas versões baseadas em Windows do WinRAR 7.11 e anteriores, incluindo RAR, UnRAR, código-fonte portátil do UnRAR e UnRAR.dll. Versões para outras plataformas, incluindo Unix e Android, não são afetadas.
Para verificar qual versão está instalada no seu computador, abra o WinRAR, vá até a aba "Ajuda" e clique em "Sobre o WinRAR". Se a versão exibida for inferior a 7.12, você deve atualizar imediatamente. A instalação é rápida e não requer desinstalação da versão anterior.
A Diretiva Operacional Vinculante (BOD) 22-01 da CISA determina que as agências federais dos EUA são obrigadas a corrigir as vulnerabilidades até 30 de dezembro de 2025.
)
){kind=logo}
)
){kind=logo}
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
