ESET identificĆ³ una campaƱa que con la excusa de ser documentos de solicitud de empleo en formato WinRAR ocultan archivos maliciosos en un archivo comprimido, que se despliegan silenciosamente al extraerlo. La misma apunta principalmente a empresas financieras, de fabricaciĆ³n, defensa y logĆstica.
Montevideo, Uruguay ā El equipo de investigaciĆ³n de ESET, compaƱĆa lĆder en detecciĆ³n proactiva de amenazas, descubriĆ³ una vulnerabilidad de zero-day (una nueva vulnerabilidad previamente desconocida) en WinRAR que estĆ” siendo explotada bajo la apariencia de documentos de solicitud de empleo. Esta campaƱa estĆ” siendo dirigida por el grupo RomCom, alineado con Rusia, y estĆ” dirigida a empresas financieras, de fabricaciĆ³n, defensa y logĆstica de Europa y CanadĆ”.
āSe recomienda a los usuarios de WinRAR que instalen la Ćŗltima versiĆ³n lo antes posible para mitigar el riesgo. AdemĆ”s, es importante tener en cuenta que las soluciones de software que dependen de versiones de Windows disponibles pĆŗblicamente de UnRAR.dll o su cĆ³digo fuente correspondiente tambiĆ©n estĆ”n afectadas, especialmente aquellas que no han actualizado sus dependencias.ā, comenta Camilo GutiĆ©rrez Amaya, Jefe del Laboratorio de InvestigaciĆ³n de ESET LatinoamĆ©rica.
Puntos clave de este hallazgo de ESET:
- Si se utiliza WinRAR u otros componentes afectados, como las versiones para Windows de sus utilidades de lĆnea de comandos, UnRAR.dll o el cĆ³digo fuente portable de UnRAR, es importante actualizarlos inmediatamente a la Ćŗltima versiĆ³n.
- El 18 de julio de 2025, el equipo de ESET descubriĆ³ una vulnerabilidad de dĆa cero, desconocida hasta entonces, que estaba siendo explotada en WinRAR.
- El anĆ”lisis del exploit llevĆ³ al descubrimiento de una vulnerabilidad de path traversal, posible gracias al uso de flujos de datos alternativos.
- Tras una notificaciĆ³n inmediata, WinRAR publicĆ³ una versiĆ³n parcheada el 30 de julio de 2025.
- La vulnerabilidad permite ocultar archivos maliciosos en un archivo comprimido, que se despliegan silenciosamente al extraerlo.
- Esta campaƱa se dirigiĆ³ a empresas financieras, de fabricaciĆ³n, defensa y logĆstica de Europa y CanadĆ”.
El equipo de investigaciĆ³n de ESET identificĆ³ una vulnerabilidad en WinRAR que estĆ” siendo explotada por el grupo RomCom. Este grupo (tambiĆ©n conocido como Storm-0978, Tropical Scorpius o UNC2596) estĆ” alineado con Rusia y lleva a cabo tanto campaƱas oportunistas contra determinados sectores empresariales como operaciones de espionaje selectivo. El enfoque del grupo ha cambiado para incluir operaciones de espionaje que recopilan inteligencia, en paralelo con sus operaciones de ciberdelincuencia mĆ”s convencionales.
El backdoor utilizado habitualmente por el grupo es capaz de ejecutar comandos y descargar mĆ³dulos adicionales en la mĆ”quina de la vĆctima. Esta es al menos la tercera vez que RomCom ha sido descubierto explotando alguna vulnerabilidad importante de zero-day. Los ejemplos anteriores incluyen una de Microsoft Word en junio de 2023, y las vulnerabilidades dirigidas a versiones vulnerables de Firefox, Thunderbird y el navegador Tor, en octubre de 2024.
El equipo de ESET identificĆ³ un archivo RAR que contenĆa rutas inusuales que llamaron su atenciĆ³n. Tras un anĆ”lisis mĆ”s detallado, descubriĆ³ que los atacantes estaban explotando una vulnerabilidad desconocida hasta entonces que afectaba a WinRAR. Al confirmarlo, se pusieron en contacto con el desarrollador de WinRAR y, ese mismo dĆa, se corrigiĆ³ la vulnerabilidad y se publicĆ³ la actualizaciĆ³n WinRAR 7.13 beta 1. WinRAR 7.13, el 30 de julio de 2025.
Los atacantes crearon especialmente el archivo que adjuntaban a los correos para que en apariencia sĆ³lo contuviera un archivo benigno, mientras que contiene muchos ADS maliciosos (aunque no hay indicaciĆ³n de ellos desde el punto de vista del usuario).
Una vez que la vĆctima abre este archivo aparentemente benigno, WinRAR lo desempaqueta junto con todos sus ADS. Por ejemplo, para Eli_Rosenfeld_CV2 – Copy (10).rar, se despliega una DLL maliciosa en %TEMP%. Del mismo modo, se despliega un archivo LNK malicioso en el directorio de inicio de Windows, con lo que se consigue la persistencia mediante la ejecuciĆ³n en el inicio de sesiĆ³n del usuario.
SegĆŗn la telemetrĆa de ESET, estos archivos se utilizaron en campaƱas de spearphishing (tipo de ataque de phishing dirigido a puntos especĆficos, con el objetivo de obtener informaciĆ³n confidencial o acceso a sistemas) del 18 al 21 de julio de 2025, dirigidas a empresas financieras, de fabricaciĆ³n, defensa y logĆstica de Europa y CanadĆ”. En todos los casos, los atacantes enviaron un CV con la esperanza de que un objetivo curioso lo abriera. SegĆŗn la telemetrĆa de ESET, ninguno de los objetivos se vio comprometido.
āAl explotar una vulnerabilidad de zero-day previamente desconocida en WinRAR, el grupo RomCom ha demostrado que estĆ” dispuesto a invertir grandes esfuerzos y recursos en sus ciberoperaciones. Esta es al menos la tercera vez que RomCom utiliza una vulnerabilidad de zero-day in the wild, lo que pone de manifiesto su constante interĆ©s en adquirir y utilizar exploits para ataques selectivos. La campaƱa descubierta se dirigiĆ³ a sectores que coinciden con los intereses tĆpicos de los grupos APT alineados con Rusia, lo que sugiere una motivaciĆ³n geopolĆtica detrĆ”s de la operaciĆ³n. Queremos agradecer al equipo de WinRAR su cooperaciĆ³n y rĆ”pida respuesta, y reconocer su esfuerzo por publicar un parche en tan sĆ³lo un dĆa.ā, comenta Anton Cherepanov, Senior Malware Researcher de ESET y parte del equipo que llevĆ³ adelante la investigaciĆ³n.
Para conocer mƔs sobre seguridad informƔtica visite el portal de noticias de ESET: https://www.welivesecurity.com/es/investigaciones/vulnerabilidad-zero-day-winrar-explotada-activamente/
Por otro lado, ESET invita a conocer ConexiĆ³n Segura, su podcast para saber quĆ© estĆ” ocurriendo en el mundo de la seguridad informĆ”tica. Para escucharlo ingrese a: https://open.spotify.com/show/0Q32tisjNy7eCYwUNHphcw
Acerca de ESET
Desde 1987, ESETĀ® desarrolla soluciones de seguridad que ayudan a mĆ”s de 100 millones de usuarios a disfrutar la tecnologĆa de forma segura. Su portfolio de soluciones ofrece a las empresas y consumidores de todo el mundo un equilibrio perfecto entre rendimiento y protecciĆ³n proactiva. La empresa cuenta con una red global de ventas que abarca 180 paĆses y tiene oficinas en Bratislava, San Diego, Singapur, Buenos Aires, MĆ©xico DF y San Pablo.
Acerca de Videosoft | ESET Uruguay
VideoSoft representa y distribuye de forma exclusiva en Uruguay los productos de ESET, formando asĆ el nodo ESET Uruguay. Con mĆ”s de 20 aƱos dedicados al Ć”rea de la informĆ”tica, la experiencia de VideoSoft en el tema de los virus de computadora es avalada por la creaciĆ³n del portal VSAntivirus, que desde hace 16 aƱos obtiene importante reconocimiento a nivel mundial con decenas de miles de visitas diarias. Es asĆ que a la hora de ofrecer la mejor protecciĆ³n con el mayor rendimiento en el tema de software de seguridad, su gran entendimiento en la materia, llevĆ³ a la empresa a inclinarse decididamente hacia NOD32.
