Pesquisadores de segurança alertam que uma vulnerabilidade grave no WinRAR, identificada como CVE-2025-6218, está sendo explorada em ataques reais. O WinRAR segue amplamente usado no mundo todo, o que torna o impacto potencial dessa falha ainda maior. De acordo com especialistas, grupos cibercriminosos estão usando a brecha em campanhas que atingem desde órgãos governamentais até empresas financeiras.
A CISA, agência de segurança dos EUA, adicionou a falha ao catálogo de vulnerabilidades com exploração ativa, classificando o caso com pontuação 7,8 na escala CVSS. A gravidade elevada reforça que o problema é urgente.
Como funciona a falha no WinRAR
A CVE-2025-6218 é uma vulnerabilidade do tipo directory traversal. Isso significa que o WinRAR não valida corretamente para onde os arquivos devem ser extraídos. Com isso, um invasor pode manipular o caminho dentro de um arquivo compactado para colocar conteúdo malicioso em diretórios sensíveis do Windows.
Um arquivo manipulado pode, por exemplo, jogar um executável diretamente na pasta de Inicialização do sistema. Assim, basta o usuário extrair o conteúdo para que o código malicioso seja executado automaticamente no próximo login, sem exigir permissões elevadas. A exploração pode acontecer tanto com o download de um arquivo infectado quanto com a visita a um site fraudulento que aciona o WinRAR para descompressão.
Grupos explorando a vulnerabilidade
Três grupos distintos já foram identificados aproveitando a falha.
O primeiro é o GOFFEE, também chamado Paper Werewolf, que mira organizações russas. Esse grupo combina a CVE-2025-6218 com outra falha do WinRAR, a CVE-2025-8088, em campanhas que usam phishing como porta de entrada.
O segundo grupo é o Bitter, conhecido também como APT-C-08. Eles atuam principalmente no sul da Ásia e estão usando a vulnerabilidade para manter persistência nos sistemas atacados. A isca é um arquivo RAR com um documento Word aparentemente comum. O perigo está em um template malicioso embutido que se instala na pasta de templates globais do Word. Assim, toda vez que o aplicativo é aberto, o código malicioso executa em segundo plano, permitindo roubo de senhas, exfiltração de arquivos e captura de tela.
O ataque substitui silenciosamente o arquivo Normal.dotm, template que o Word carrega em toda inicialização. Com isso, o malware passa a rodar automaticamente e contorna bloqueios padrão de macros vindas de anexos.
O terceiro grupo é o Gamaredon, que mantém campanhas agressivas contra alvos ucranianos. Eles já foram vistos tentando instalar o malware Pteranodon por meio da exploração dessa mesma vulnerabilidade. Especialistas classificam as operações do Gamaredon como espionagem e sabotagem de cunho militar.
Como se proteger e atualizar o WinRAR
A RARLAB corrigiu a falha com a atualização para o WinRAR 7.12, liberada em junho de 2025. O grande problema é que o software não atualiza automaticamente, deixando milhões de usuários vulneráveis em versões antigas.
A vulnerabilidade afeta apenas versões do WinRAR para Windows, incluindo RAR, UnRAR, código-fonte do UnRAR e UnRAR.dll. Plataformas como Unix e Android não são afetadas.
Para verificar sua versão instalada, abra o WinRAR, acesse “Ajuda” e clique em “Sobre o WinRAR”. Se a versão for inferior à 7.12, a atualização é obrigatória. O processo é simples e não exige remover a versão anterior.
Nos EUA, a CISA determinou que agências federais devem aplicar a correção até 30 de dezembro de 2025. Mesmo quem não está no setor público deveria agir muito antes desse prazo, já que criminosos continuam explorando a falha em larga escala.
Esse caso mostra como até softwares extremamente populares e tradicionais podem se tornar porta de entrada para ataques sofisticados, reforçando a necessidade de manter ferramentas críticas sempre atualizadas.
