WinRAR è pericolosa, la celebre app usata anche dagli hacker russi
Scoperta una falla di sicurezza all’interno di WinRAR già stata usata attivamente dagli hacker; un gruppo russo l’ha usata anche contro infrastrutture ucraine
In Sintesi
- La CISA ha emesso un avviso urgente riguardo una falla “ad alto rischio” in WinRAR per Windows che consente attacchi di tipo path traversal.
- Questa tecnica permette agli aggressori di salvare file malevoli in percorsi sensibili del sistema portando potenzialmente all’esecuzione automatica di codice non autorizzato.
L’agenzia statunitense per la sicurezza informatica (CISA) ha pubblicato un avviso urgente riguardante una vulnerabilità critica scovata all’interno di uno dei software più diffusi al mondo, WinRAR. Secondo il report dell’agenzia, la falla catalogata come CVE-2025-6218, è già stata sfruttata attivamente da diversi gruppi hacker, sollevando timori crescenti sulla sicurezza degli utenti che non hanno ancora aggiornato il programma.
Cosa sappiamo della vulnerabilità di WinRAR
Da quello che sappiamo la vulnerabilità riguarda esclusivamente le versioni Windows di WinRAR ed è stata classificata come “a rischio elevato”. La falla permette attacchi di tipo path traversal, una tecnica con cui archivi RAR manipolati o pagine web appositamente costruite possono indurre il salvataggio di file malevoli in percorsi sensibili del sistema.
Nel peggiore degli scenari, un aggressore potrebbe collocare file nella cartella di avvio di Windows, consentendo l’esecuzione automatica di codice non autorizzato. Il risultato è la compromissione del sistema nel contesto dell’utente collegato, senza che questi ne abbia consapevolezza.
Gli sviluppatori di Rarlab hanno corretto il problema con il rilascio di WinRAR 7.12, pubblicato nel giugno 2025. Tuttavia, una larga quota di utenti non ha ancora installato l’aggiornamento, mantenendo esposto un numero significativo di sistemi.
Stando alle informazioni condivise, la vulnerabilità CVE-2025-6218 è stata integrata in articolate catene di attacco condotte da diversi attori noti nel panorama delle minacce. Tra questi figurano il gruppo GOFFEE (Paper Werewolf), l’APT Bitter e il collettivo hacker russo Gamaredon. Queste organizzazioni criminali, hanno sfruttato la falla all’interno di campagne di phishing mirato condotte nell’estate del 2025, con archivi RAR che sono stati impiegati per indurre le vittime ad aprire file dannosi, avviando la catena di compromissione.
Altro utilizzo documentato riguarda l’invio di un documento Word apparentemente legittimo accompagnato da un modello di macro alterato, che viene copiato in modo furtivo nella cartella globale dei modelli di Word. A ogni avvio del programma, la macro malevola si attiva automaticamente, offrendo un punto d’ingresso stabile a un trojan progettato per sottrarre dati e comunicare con server di comando e controllo remoti.
La vulnerabilità è stata usata anche per scopi militari
Come evidente la vulnerabilità CVE-2025-6218 è davvero molto pericolosa ma il quadro diventa ancora più allarmante con il coinvolgimento del gruppo hacker russo Gamaredon, già noto per operazioni di spionaggio in ambito militare. Questi criminali, infatti, hanno sfruttato la falla per diffondere il malware Pteranodon all’interno di agenzie governative e strutture militari ucraine, nell’ambito di una campagna coordinata (ritenuta di natura statale).
Oltre a questo, è stato individuato anche un nuovo componente distruttivo nella loro infrastruttura malware: GamaWiper, un wiper progettato per cancellare dati e rendere inutilizzabili i sistemi colpiti.
Vista la pericolosità di questa vulnerabilità, gli esperti di sicurezza informatica consigliano a tutti di aggiornare immediatamente WinRAR alla versione più recente (già disponibile sul sito ufficiale).
