{"id":57658,"date":"2025-08-13T11:57:56","date_gmt":"2025-08-13T14:57:56","guid":{"rendered":"https:\/\/temucotelevision.cl\/web\/?p=57658"},"modified":"2025-08-13T11:57:56","modified_gmt":"2025-08-13T14:57:56","slug":"eset-descubre-phishing-activo-que-utiliza-winrar-para-robar-informacion","status":"publish","type":"post","link":"https:\/\/temucotelevision.cl\/web\/2025\/08\/13\/eset-descubre-phishing-activo-que-utiliza-winrar-para-robar-informacion\/","title":{"rendered":"ESET descubre phishing activo que utiliza WinRAR para robar informaci\u00f3n"},"content":{"rendered":"<div class=\"pvc_clear\"><\/div><p id=\"pvc_stats_57658\" class=\"pvc_stats total_only  \" data-element-id=\"57658\" style=\"\"><i class=\"pvc-stats-icon large\" aria-hidden=\"true\"><svg aria-hidden=\"true\" focusable=\"false\" data-prefix=\"far\" data-icon=\"chart-bar\" role=\"img\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 512 512\" class=\"svg-inline--fa fa-chart-bar fa-w-16 fa-2x\"><path fill=\"currentColor\" d=\"M396.8 352h22.4c6.4 0 12.8-6.4 12.8-12.8V108.8c0-6.4-6.4-12.8-12.8-12.8h-22.4c-6.4 0-12.8 6.4-12.8 12.8v230.4c0 6.4 6.4 12.8 12.8 12.8zm-192 0h22.4c6.4 0 12.8-6.4 12.8-12.8V140.8c0-6.4-6.4-12.8-12.8-12.8h-22.4c-6.4 0-12.8 6.4-12.8 12.8v198.4c0 6.4 6.4 12.8 12.8 12.8zm96 0h22.4c6.4 0 12.8-6.4 12.8-12.8V204.8c0-6.4-6.4-12.8-12.8-12.8h-22.4c-6.4 0-12.8 6.4-12.8 12.8v134.4c0 6.4 6.4 12.8 12.8 12.8zM496 400H48V80c0-8.84-7.16-16-16-16H16C7.16 64 0 71.16 0 80v336c0 17.67 14.33 32 32 32h464c8.84 0 16-7.16 16-16v-16c0-8.84-7.16-16-16-16zm-387.2-48h22.4c6.4 0 12.8-6.4 12.8-12.8v-70.4c0-6.4-6.4-12.8-12.8-12.8h-22.4c-6.4 0-12.8 6.4-12.8 12.8v70.4c0 6.4 6.4 12.8 12.8 12.8z\" class=\"\"><\/path><\/svg><\/i> <img loading=\"lazy\" decoding=\"async\" width=\"16\" height=\"16\" alt=\"Loading\" src=\"https:\/\/temucotelevision.cl\/web\/wp-content\/plugins\/page-views-count\/ajax-loader-2x.gif\" border=0 \/><\/p><div class=\"pvc_clear\"><\/div>\n<p><em>ESET identific\u00f3 una campa\u00f1a que con la excusa de ser documentos de solicitud de empleo en formato WinRAR ocultan archivos maliciosos en un archivo comprimido, que se despliegan silenciosamente al extraerlo. La misma apunta principalmente a empresas financieras, de fabricaci\u00f3n, defensa y log\u00edstica.<\/em><\/p>\n\n\n\n<p>El equipo de investigaci\u00f3n de\u00a0<a href=\"https:\/\/www.eset.com\/latam\/\" target=\"_blank\" rel=\"noreferrer noopener\">ESET<\/a>, compa\u00f1\u00eda l\u00edder en detecci\u00f3n proactiva de amenazas, descubri\u00f3 una vulnerabilidad de zero-day (una nueva vulnerabilidad previamente desconocida) en WinRAR que est\u00e1 siendo explotada bajo la apariencia de documentos de solicitud de empleo. Esta campa\u00f1a est\u00e1 siendo dirigida por el grupo RomCom, alineado con Rusia, y est\u00e1 dirigida a empresas financieras, de fabricaci\u00f3n, defensa y log\u00edstica de Europa y Canad\u00e1.\u00a0<\/p>\n\n\n\n<p>\u201c<em>Se recomienda a los usuarios de WinRAR que instalen la \u00faltima versi\u00f3n lo antes posible para mitigar el riesgo. Adem\u00e1s, es importante tener en cuenta que las soluciones de software que dependen de versiones de Windows disponibles p\u00fablicamente de UnRAR.dll o su c\u00f3digo fuente correspondiente tambi\u00e9n est\u00e1n afectadas, especialmente aquellas que no han actualizado sus dependencias<\/em>\u201d, comenta Camilo Guti\u00e9rrez Amaya, Jefe del Laboratorio de Investigaci\u00f3n de ESET Latinoam\u00e9rica.&nbsp;<\/p>\n\n\n\n<p><strong>Puntos clave de este hallazgo de ESET:<\/strong><\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Si se utiliza WinRAR u otros componentes afectados, como las versiones para Windows de sus utilidades de l\u00ednea de comandos, UnRAR.dll o el c\u00f3digo fuente portable de UnRAR, es importante actualizarlos inmediatamente a la \u00faltima versi\u00f3n.<\/li>\n\n\n\n<li>El 18 de julio de 2025, el equipo de ESET descubri\u00f3 una vulnerabilidad de d\u00eda cero, desconocida hasta entonces, que estaba siendo explotada en WinRAR.<\/li>\n\n\n\n<li>El an\u00e1lisis del exploit llev\u00f3 al descubrimiento de una vulnerabilidad de path traversal, posible gracias al uso de flujos de datos alternativos.<\/li>\n\n\n\n<li>Tras una notificaci\u00f3n inmediata, WinRAR public\u00f3 una versi\u00f3n parcheada el 30 de julio de 2025.<\/li>\n\n\n\n<li>La vulnerabilidad permite ocultar archivos maliciosos en un archivo comprimido, que se despliegan silenciosamente al extraerlo.<\/li>\n\n\n\n<li>Esta campa\u00f1a se dirigi\u00f3 a empresas financieras, de fabricaci\u00f3n, defensa y log\u00edstica de Europa y Canad\u00e1.<\/li>\n<\/ul>\n\n\n\n<p>El equipo de investigaci\u00f3n de ESET identific\u00f3 una vulnerabilidad en WinRAR que est\u00e1 siendo explotada por el grupo RomCom. Este grupo (tambi\u00e9n conocido como Storm-0978, Tropical Scorpius o UNC2596) est\u00e1 alineado con Rusia y lleva a cabo tanto campa\u00f1as oportunistas contra determinados sectores empresariales como operaciones de espionaje selectivo. El enfoque del grupo ha cambiado para incluir operaciones de espionaje que recopilan inteligencia, en paralelo con sus operaciones de ciberdelincuencia m\u00e1s convencionales.&nbsp;<\/p>\n\n\n\n<p>El backdoor utilizado habitualmente por el grupo es capaz de ejecutar comandos y descargar m\u00f3dulos adicionales en la m\u00e1quina de la v\u00edctima. Esta es al menos la tercera vez que RomCom ha sido descubierto explotando alguna vulnerabilidad importante de zero-day. Los ejemplos anteriores incluyen una de Microsoft Word en&nbsp;<a href=\"https:\/\/www.microsoft.com\/en-us\/security\/blog\/2023\/07\/11\/storm-0978-attacks-reveal-financial-and-espionage-motives\/\" target=\"_blank\" rel=\"noreferrer noopener\">junio de 2023<\/a>, y las vulnerabilidades dirigidas a versiones vulnerables de Firefox, Thunderbird y el navegador Tor, en&nbsp;<a href=\"https:\/\/www.welivesecurity.com\/en\/eset-research\/romcom-exploits-firefox-and-windows-zero-days-in-the-wild\/\" target=\"_blank\" rel=\"noreferrer noopener\">octubre de 2024<\/a>.<\/p>\n\n\n\n\n\n<p><em>Pie de imagen: Mensaje de correo electr\u00f3nico observado por ESET.<\/em><\/p>\n\n\n\n<p>El equipo de ESET identific\u00f3 un archivo RAR que conten\u00eda rutas inusuales que llamaron su atenci\u00f3n. Tras un an\u00e1lisis m\u00e1s detallado, descubri\u00f3 que los atacantes estaban explotando una vulnerabilidad desconocida hasta entonces que afectaba a&nbsp;<a href=\"https:\/\/www.win-rar.com\/\" target=\"_blank\" rel=\"noreferrer noopener\">WinRAR<\/a>. Al confirmarlo, se pusieron en contacto con el desarrollador de WinRAR y, ese mismo d\u00eda, se corrigi\u00f3 la vulnerabilidad y se public\u00f3 la actualizaci\u00f3n WinRAR 7.13 beta 1. WinRAR 7.13, el 30 de julio de 2025.&nbsp;<\/p>\n\n\n\n<p>Los atacantes crearon especialmente el archivo que adjuntaban a los correos para que en apariencia s\u00f3lo contuviera un archivo benigno, mientras que contiene muchos ADS maliciosos (aunque no hay indicaci\u00f3n de ellos desde el punto de vista del usuario).<\/p>\n\n\n\n\n\n<p><em>Pie de imagen: &nbsp;Eli_Rosenfeld_CV2 &#8211; Copia (10).rar&nbsp;abierto en WinRAR<\/em><\/p>\n\n\n\n<p>Una vez que la v\u00edctima abre este archivo aparentemente benigno, WinRAR lo desempaqueta junto con todos sus ADS. Por ejemplo, para&nbsp;Eli_Rosenfeld_CV2 &#8211; Copy (10).rar, se despliega una DLL maliciosa en&nbsp;%TEMP%. Del mismo modo, se despliega un archivo LNK malicioso en el directorio de inicio de Windows, con lo que se consigue la persistencia mediante la ejecuci\u00f3n en el inicio de sesi\u00f3n del usuario.<\/p>\n\n\n\n<p>Seg\u00fan la telemetr\u00eda de ESET, estos archivos se utilizaron en campa\u00f1as de spearphishing (tipo de ataque de phishing dirigido a puntos espec\u00edficos, con el objetivo de obtener informaci\u00f3n confidencial o acceso a sistemas) del 18 al 21 de julio de 2025, dirigidas a empresas financieras, de fabricaci\u00f3n, defensa y log\u00edstica de Europa y Canad\u00e1. En todos los casos, los atacantes enviaron un CV con la esperanza de que un objetivo curioso lo abriera. Seg\u00fan la telemetr\u00eda de ESET, ninguno de los objetivos se vio comprometido.<\/p>\n\n\n\n<p><em>\u201cAl explotar una vulnerabilidad de zero-day previamente desconocida en WinRAR, el grupo RomCom ha demostrado que est\u00e1 dispuesto a invertir grandes esfuerzos y recursos en sus ciberoperaciones. Esta es al menos la tercera vez que RomCom utiliza una vulnerabilidad de zero-day in the wild, lo que pone de manifiesto su constante inter\u00e9s en adquirir y utilizar exploits para ataques selectivos. La campa\u00f1a descubierta se dirigi\u00f3 a sectores que coinciden con los intereses t\u00edpicos de los grupos APT alineados con Rusia, lo que sugiere una motivaci\u00f3n geopol\u00edtica detr\u00e1s de la operaci\u00f3n. Queremos agradecer al equipo de WinRAR su cooperaci\u00f3n y r\u00e1pida respuesta, y reconocer su esfuerzo por publicar un parche en tan s\u00f3lo un d\u00eda\u201d,&nbsp;<\/em>comenta Anton Cherepanov, Senior Malware Researcher de ESET y parte del equipo que llev\u00f3 adelante la investigaci\u00f3n.<\/p>\n\n\n\n<p>Para conocer m\u00e1s sobre seguridad inform\u00e1tica visite el portal de noticias de ESET:&nbsp;<a href=\"https:\/\/www.welivesecurity.com\/es\/investigaciones\/vulnerabilidad-zero-day-winrar-explotada-activamente\/\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.welivesecurity.com\/es\/investigaciones\/vulnerabilidad-zero-day-winrar-explotada-activamente\/<\/a><\/p>\n\n\n\n<p>Por otro lado, ESET invita a conocer&nbsp;<a href=\"https:\/\/www.eset.com\/latam\/podcast\/\" target=\"_blank\" rel=\"noreferrer noopener\"><strong>Conexi\u00f3n Segura<\/strong><\/a>, su podcast para saber qu\u00e9 est\u00e1 ocurriendo en el mundo de la seguridad inform\u00e1tica. Para escucharlo ingrese a:&nbsp;<a href=\"https:\/\/open.spotify.com\/show\/0Q32tisjNy7eCYwUNHphcw\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/open.spotify.com\/show\/0Q32tisjNy7eCYwUNHphcw<\/a><\/p>\n\n\n\n<p><strong>Vis\u00edtanos en:&nbsp;<\/strong>&nbsp;<\/p>\n\n\n\n<p>&nbsp;&nbsp;&nbsp;&nbsp;&nbsp;<img alt=\"Logotipo\n\nEl contenido generado por IA puede ser incorrecto.\" width=\"22.67573696145125\" height=\"13.333155557925895\">&nbsp;<a href=\"https:\/\/twitter.com\/ESETLA\" target=\"_blank\" rel=\"noreferrer noopener\">@ESETLA<\/a>&nbsp; &nbsp;&nbsp;<img alt=\"http:\/\/www.gedestic.es\/wp-content\/uploads\/2013\/10\/linkedin-logo.png\" width=\"10\" height=\"11\">&nbsp;<a href=\"https:\/\/www.linkedin.com\/company\/eset-latinoamerica\/\" target=\"_blank\" rel=\"noreferrer noopener\">\/compay\/eset-latinoamerica<\/a>&nbsp;&nbsp;<img width=\"28.48407740073299\" height=\"15.38377012252074\"><a href=\"https:\/\/www.instagram.com\/esetla\/\" target=\"_blank\" rel=\"noreferrer noopener\">\/esetla<\/a>&nbsp;&nbsp;&nbsp;<img width=\"16.39281030625627\" height=\"16.199928720313633\"><a href=\"https:\/\/www.facebook.com\/ESETLA\" target=\"_blank\" rel=\"noreferrer noopener\">\/ESETLA<\/a>&nbsp;&nbsp; &nbsp;&nbsp;<img width=\"16.23524875445201\" height=\"16.235303667825686\">&nbsp;<a href=\"https:\/\/www.youtube.com\/@esetla\" target=\"_blank\" rel=\"noreferrer noopener\">\/@esetla<\/a><\/p>\n\n\n\n<p><strong>Acerca de ESET<\/strong><\/p>\n\n\n\n<p>ESET\u00ae proporciona seguridad digital de vanguardia para prevenir ataques antes de que ocurran. Al combinar el poder de la IA y la experiencia humana, ESET\u00ae se anticipa a las ciberamenazas conocidas y emergentes, asegurando empresas, infraestructuras cr\u00edticas e individuos. Ya sea protecci\u00f3n de endpoints, nube o dispositivos m\u00f3viles, sus soluciones y servicios nativos de IA y basados en la nube son altamente efectivos y f\u00e1ciles de usar. La tecnolog\u00eda de ESET incluye detecci\u00f3n y respuesta s\u00f3lidas, cifrado ultraseguro y autenticaci\u00f3n multifactor. Con defensa en tiempo real las 24 horas, los 7 d\u00edas de la semana y un s\u00f3lido soporte local, mantiene a los usuarios seguros y a las empresas funcionando sin interrupciones. Un panorama digital en constante evoluci\u00f3n exige un enfoque progresivo de la seguridad: ESET\u00ae est\u00e1 comprometido con una investigaci\u00f3n de clase mundial y una potente inteligencia sobre amenazas, respaldada por centros de I+D y una s\u00f3lida red global de socios. Para obtener m\u00e1s informaci\u00f3n, visite&nbsp;<a href=\"https:\/\/www.eset.com\/latam\" target=\"_blank\" rel=\"noreferrer noopener\">https:\/\/www.eset.com\/latam<\/a>&nbsp;o s\u00edganos en&nbsp;<a href=\"https:\/\/www.linkedin.com\/company\/eset-latinoamerica\" target=\"_blank\" rel=\"noreferrer noopener\">LinkedIn<\/a>,<a href=\"https:\/\/www.facebook.com\/ESETLA\" target=\"_blank\" rel=\"noreferrer noopener\">&nbsp;Facebook&nbsp;<\/a>y&nbsp;<a href=\"https:\/\/twitter.com\/ESETLA\" target=\"_blank\" rel=\"noreferrer noopener\">Twitter<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"<div class=\"pvc_clear\"><\/div>\n<p id=\"pvc_stats_57658\" class=\"pvc_stats total_only  \" data-element-id=\"57658\" style=\"\"><i class=\"pvc-stats-icon large\" aria-hidden=\"true\"><svg aria-hidden=\"true\" focusable=\"false\" data-prefix=\"far\" data-icon=\"chart-bar\" role=\"img\" xmlns=\"http:\/\/www.w3.org\/2000\/svg\" viewBox=\"0 0 512 512\" class=\"svg-inline--fa fa-chart-bar fa-w-16 fa-2x\"><path fill=\"currentColor\" d=\"M396.8 352h22.4c6.4 0 12.8-6.4 12.8-12.8V108.8c0-6.4-6.4-12.8-12.8-12.8h-22.4c-6.4 0-12.8 6.4-12.8 12.8v230.4c0 6.4 6.4 12.8 12.8 12.8zm-192 0h22.4c6.4 0 12.8-6.4 12.8-12.8V140.8c0-6.4-6.4-12.8-12.8-12.8h-22.4c-6.4 0-12.8 6.4-12.8 12.8v198.4c0 6.4 6.4 12.8 12.8 12.8zm96 0h22.4c6.4 0 12.8-6.4 12.8-12.8V204.8c0-6.4-6.4-12.8-12.8-12.8h-22.4c-6.4 0-12.8 6.4-12.8 12.8v134.4c0 6.4 6.4 12.8 12.8 12.8zM496 400H48V80c0-8.84-7.16-16-16-16H16C7.16 64 0 71.16 0 80v336c0 17.67 14.33 32 32 32h464c8.84 0 16-7.16 16-16v-16c0-8.84-7.16-16-16-16zm-387.2-48h22.4c6.4 0 12.8-6.4 12.8-12.8v-70.4c0-6.4-6.4-12.8-12.8-12.8h-22.4c-6.4 0-12.8 6.4-12.8 12.8v70.4c0 6.4 6.4 12.8 12.8 12.8z\" class=\"\"><\/path><\/svg><\/i> <img loading=\"lazy\" decoding=\"async\" width=\"16\" height=\"16\" alt=\"Loading\" src=\"https:\/\/temucotelevision.cl\/web\/wp-content\/plugins\/page-views-count\/ajax-loader-2x.gif\" border=0 \/><\/p>\n<div class=\"pvc_clear\"><\/div>\n<p>ESET identific\u00f3 una campa\u00f1a que con la excusa de ser documentos de solicitud de empleo en formato WinRAR ocultan archivos<\/p>\n","protected":false},"author":1,"featured_media":57659,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"colormag_page_container_layout":"default_layout","colormag_page_sidebar_layout":"default_layout","footnotes":""},"categories":[6973],"tags":[7083],"class_list":["post-57658","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tecnologia","tag-eset"],"a3_pvc":{"activated":true,"total_views":4222,"today_views":0},"_links":{"self":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts\/57658","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/comments?post=57658"}],"version-history":[{"count":1,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts\/57658\/revisions"}],"predecessor-version":[{"id":57660,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/posts\/57658\/revisions\/57660"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/media\/57659"}],"wp:attachment":[{"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/media?parent=57658"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/categories?post=57658"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/temucotelevision.cl\/web\/wp-json\/wp\/v2\/tags?post=57658"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}