![](\"https:\/\/www.europesays.com\/it\/wp-content\/uploads\/2025\/08\/692a07_immagine.png\")
<\/p>\nSembra un archivio qualunque, magari il curriculum allegato a una candidatura. Lo si apre con WinRAR, si lancia il documento, e tutto sembra normale. Ma sotto la superficie si nasconde un attacco sofisticato, gi\u00e0 attivo e sfruttato dal gruppo filorusso RomCom. <\/p>\n
<\/p>\n
La vulnerabilit\u00e0 in questione, CVE-2025-8088, riguarda le versioni di WinRAR fino alla 7.12 e coinvolge anche componenti usate da software terzi come UnRAR.dll<\/b> e il relativo codice sorgente. A scoprirla sono stati i ricercatori di ESET, che l\u2019hanno osservata in uso reale all\u2019interno di campagne mirate contro aziende europee e canadesi, nei settori della finanza, della difesa, della logistica e della manifattura.<\/p>\n
<\/p>\n
Il meccanismo dell\u2019attacco \u00e8 insidioso. Gli aggressori costruiscono archivi RAR che sembrano contenere un solo file innocuo, spesso un documento. <\/p>\n
Ma sfruttando una falla nel modo in cui WinRAR gestisce gli Alternate Data Streams (ADS), riescono a far s\u00ec che durante l\u2019estrazione vengano rilasciati file malevoli in posizioni diverse dal percorso scelto dall\u2019utente. Lo stesso accade se si apre l\u2019archivio e si avvia il file visibile dall\u2019interfaccia<\/b>: anche in quel caso, WinRAR estrae in background i componenti nascosti, depositandoli in cartelle come %TEMP% o nella directory di avvio automatico. In entrambi gli scenari, l\u2019esecuzione del malware pu\u00f2 avvenire al login successivo o al lancio di applicazioni legittime.<\/b><\/p>\n
<\/p>\n
In uno degli scenari analizzati, il malware sfrutta un componente COM, che \u00e8 una tecnologia di Windows che permette ai programmi di richiamare funzioni condivise, alterando il registro per dirottare il caricamento di una libreria. Quando l\u2019utente avvia Microsoft Edge, il browser richiama inconsapevolmente una DLL malevola, eseguendo cos\u00ec il codice dell\u2019attaccante.<\/b><\/p>\n
<\/p>\n
WinRAR ha corretto il bug con la versione 7.13, rilasciata il 30 luglio, appena dodici giorni dopo la segnalazione di ESET. Tuttavia, poich\u00e9 il programma non dispone di un meccanismo di aggiornamento automatico<\/b> (e sappiamo che WinRAR \u00e8 uno di quei programmi che si installano e poi si \u201cdimenticano\u201d), molti utenti restano potenzialmente vulnerabili. <\/b><\/p>\n
![](\"https:\/\/www.europesays.com\/it\/wp-content\/uploads\/2025\/08\/0e80f2_immagine.png\")
<\/p>\n