Malware e Vulnerabilità

RomCom sfrutta una vulnerabilità zero-day in WinRAR

Dario Fadda 11 Agosto 2025

Negli ultimi giorni, il gruppo APT RomCom (noto anche come Storm-0978 o Tropical Scorpius) è tornato alla ribalta per aver sfruttato una vulnerabilità zero-day in WinRAR, strumento ampiamente utilizzato per la compressione di file. La vulnerabilità, identificata come CVE-2025-8088, è una path traversal che sfrutta gli Alternate Data Streams (ADS) di Windows per nascondere file malevoli all’interno di archivi RAR apparentemente innocui.

Il meccanismo dell’exploit

L’attacco inizia con una campagna di spearphishing mirata a settori strategici come finanza, difesa e logistica in Europa e Canada. Gli allegati, presentati come curriculum vitae (es. Eli_Rosenfeld_CV2 - Copy (10).rar), contengono un documento legittimo ma nascondono componenti malevoli attraverso ADS. Questi flussi di dati alternativi, invisibili nell’interfaccia standard di WinRAR, permettono di inserire percorsi con sequenze di directory parent (..\) per scrivere file in posizioni arbitrarie del sistema.

Ad esempio, un archivio potrebbe estrarre:

  • Un DLL malevolo (msedge.dll) nella cartella %TEMP%.
  • Un collegamento LNK (Updater.lnk) nella directory di avvio di Windows, garantendo persistenza.

WinRAR, prima della patch, non validava correttamente i percorsi negli ADS, consentendo l’exploit. Gli attaccanti hanno anche inserito ADS con percorsi non validi per mascherare quelli effettivamente dannosi, riducendo la visibilità degli errori durante l’estrazione (Figura 2-3 del report originale).

La catena di compromissione

RomCom ha utilizzato tre diverse catene di esecuzione:

  1. Mythic Agent: Un DLL registrato come COM server tramite hijacking di PSFactoryBuffer, con shellcode configurato per attivarsi solo su domini specifici (indice di targeting accurato).
  2. SnipBot Variant: Un fork modificato di PuTTY CAC (ApbxHelper.exe) che decrittografia shellcode solo se il sistema aveva almeno 69 documenti recenti (tecnica anti-sandbox).
  3. RustyClaw/MeltingClaw: Downloader in Rust che recupera payload secondari da server C2 come gohazeldale[.]com.

Indicatori di Compromesso (IoC) e mitigazioni

  • Hash malevoli:
  • AE687BEF963CB30A3788E34CC18046F54C41FFBA (Mythic Agent).
  • 1AEA26A2E2A7711F89D06165E676E11769E2FD68 (SnipBot).
  • Domini C2:
  • srlaptop[.]com, melamorri[.]com, campanole[.]com.

Per mitigare il rischio:

  • Aggiornare WinRAR alla versione 7.13 o superiore.
  • Monitorare estrazioni di archivi con ADS e percorsi non convenzionali.
  • Implementare regole YARA/SIEM per rilevare le firme dei payload (es. shellcode AES-encrypted).

RomCom, già noto per l’uso di zero-day (es. CVE-2023-36884 in Word e CVE-2024-9680 in Firefox), conferma la sua capacità di acquisire e weaponizzare vulnerabilità non pubblicate. La scelta di WinRAR, software con oltre 500 milioni di utenti, riflette una strategia di massimo impatto con minimo sforzo.

💬 Unisciti alla discussione!


Se vuoi commentare su RomCom sfrutta una vulnerabilità zero-day in WinRAR, utilizza la discussione sul Forum.
Condividi esempi, IOCs o tecniche di detection efficaci nel nostro 👉 forum community

Mastodon

Su Mastodon mi trovi qui: Mastodon

I Social

Forum Community

💬 Partecipa alla community con i nostri Forum, unico spazio per tutto il Network!

Il Network

NINAsec - la newsletter