O problema residia na biblioteca UNRAR.dll, responsável pela extração de ficheiros. Ao criar um arquivo malicioso especialmente manipulado, um atacante podia fazer com que o software escrevesse ficheiros numa localização escolhida por ele, em vez do diretório definido pelo utilizador.

Versões anteriores do WinRAR, RAR para Windows, UnRAR, código-fonte portátil do UnRAR e a própria UNRAR.dll podiam ser enganadas para seguir o caminho definido no ficheiro malicioso, ignorando o caminho indicado pelo utilizador.

Segundo os investigadores da ESET - Anton Cherepanov, Peter Košinár e Peter Strýček - esta vulnerabilidade estava a ser usada para colocar ficheiros executáveis em pastas críticas do sistema, como %APPDATA%\Microsoft\Windows\Start Menu\Programs\Startup. Desta forma, o código malicioso era executado automaticamente assim que o utilizador iniciasse sessão, permitindo ao atacante obter controlo remoto total sobre a máquina comprometida.

O grupo por trás destes ataques é atribuído à equipa RomCom, conhecida pelo desenvolvimento do RomCom RAT (Remote Access Trojan), ativo desde pelo menos 2022. Esta ameaça propaga-se frequentemente através de engenharia social, incluindo a criação de falsos sites que imitam páginas de software legítimo, como o KeePass, enganando utilizadores a instalar o RAT em conjunto com o programa desejado. As operações do grupo têm-se focado em países como a Ucrânia e vários membros da NATO.

Não é a primeira vez este ano que o WinRAR enfrenta problemas semelhantes. Em versão anterior (7.12), a empresa já tinha corrigido outra vulnerabilidade do tipo directory traversal (CVE-2025-6218) que afetava o WinRAR até à versão 7.11.

Tal como lembra o portal Bleeping Computer, o WinRAR não possui mecanismo de atualização automática, pelo que é fundamental que os utilizadores façam manualmente o download da versão 7.13 a partir do site oficial para ficarem protegidos. De acordo com os programadores, as versões Unix do RAR/UnRAR e o RAR para Android não são afetados.