攻击是如何进行的？

黑客攻击通常采用以下链路：

1. 恶意文件被隐藏在压缩归档文件中，例如使用备用数据流（ADS）技术；

2. 这些归档文件伪装成正常文件，包含诱饵内容和隐藏的恶意荷载；

3. 用户使用 WinRAR 打开或提取这些归档文件时，漏洞被触发；

4. WinRAR 在处理路径遍历时，将隐藏的恶意荷载提取到任意位置；

5. 通常生成的恶意文件包括 LINK、HTA、BAT、CMD 或其他脚本文件；

6. 这些脚本文件被写入系统的启动目录或关键位置，并在用户登录系统时随系统启动执行。

哪些黑客组织被发现利用这个漏洞？

谷歌的威胁情报团队观察到多个活跃的黑客团体，包括但不限于：

• UNC4895

• APT44

• Turla

此外，还有一些基于 经济利益目的的黑客组织利用这个漏洞来：

• 分发恶意 软件；

• 窃取用户敏感信息；

• 分发由 Telegram 机器人控制的后门程序；

• 安装恶意浏览器扩展窃取银行信息。

 更令人担忧的趋势：漏洞利用商品化

报告中指出，这些黑客似乎从 专门的漏洞供应商 那里获取可利用程序。例如：

• 代号为 ZeroPlayer 的供应商曾在 2025 年 7 月宣传过针对 WinRAR 的漏洞利用程序。

谷歌研究人员评论称，这种漏洞利用开发的 商品化现象 反映出一种网络攻击生命周期趋势：
漏洞利用的商品化降低了攻击者发动攻击的门槛和复杂性，使得任何未安装补丁的系统都可能在短时间内受到攻击。

 你该怎么做？

面对持续的攻击，不要抱侥幸心理：

 立即升级 WinRAR

访问官方最新版下载页面：【点击前往】

下载并安装 WinRAR v7.13 或更高版本。

 检查你当前的版本

打开 WinRAR，点击“帮助 → 关于”，确认版本号是否为 7.13 或更高。

 不要使用来路不明的老版本或绿色版

这些版本通常不会包含官方安全修复，极易遭受攻击。

扫码为作者充电

下次一定