WinRAR 漏洞仍遭中俄駭客濫用,惡意檔直送 Windows 啟動資料夾
Google 威脅情報小組(Google Threat Intelligence Group,GTIG)指出,一項已於 2025 年 7 月完成修補的 WinRAR 重大漏洞,至今仍被多個攻擊行動廣泛利用,其中包含與中國與俄羅斯相關的國家級威脅行為者。
GTIG 表示,攻擊者持續濫用編號為 CVE-2025-8088 的關鍵漏洞,該漏洞已在 WinRAR 最新版本 7.13 中修補,但由於使用者更新速度緩慢,使其仍成為常見的攻擊入口。
CVE-2025-8088 為一項路徑穿越漏洞,影響 WinRAR 舊版軟體,攻擊者可製作內含隱藏惡意程式的壓縮檔,當使用者解壓或開啟檔案時,惡意程式會在不被察覺的情況下,被寫入系統關鍵目錄。GTIG 指出,Windows 的啟動資料夾(Startup Folder)是常見的投放位置之一,使惡意程式可在使用者下次登入或重新啟動電腦時自動執行。
GTIG 說明,儘管雲端儲存與高速網路已普及,WinRAR、WinZip 與 7-Zip 等壓縮工具仍被大量使用,主要原因在於其能將多個檔案整合為單一檔案,並支援加密、密碼保護與檔案壓縮,降低傳輸資料量。
其中 WinRAR 的授權模式亦促成其高使用率。雖然官方提供 40 天試用期,試用期結束後理應付費購買,但實際上,多數使用者僅關閉到期提示視窗後,仍可繼續使用軟體。GTIG 指出,部分使用者也可能因此錯過 RARLAB 在試用到期提示視窗中新增的安全警告資訊。
根據 GTIG 的觀察,這項漏洞攻擊行動主要鎖定烏克蘭的軍事單位與政府機構,用途多為情蒐與間諜活動;此外,商業組織同樣成為受害對象,相關案例已出現在印尼、拉丁美洲與巴西等地。
GTIG 呼籲,仍在系統中使用 WinRAR 的使用者,應更新至最新版本,以避免成為該漏洞攻擊行動的目標。
(首圖來源:Unsplash)