假冒WinRAR下载网站直接捆绑恶意软件,传播Winzipper后门程序

安全研究人员发现一起新的恶意软件活动，攻击者建立多个高仿的WinRAR官方网站（如winrar-tw.com），提供捆绑了Winzipper后门程序的假冒安装包。当用户从这些第三方网站下载并运行所谓的“WinRAR安装程序”时，系统会被植入恶意软件。该安装包采用多层混淆和压缩技术，其恶意组件会在运行时直接解压至内存中执行，以规避传统的文件扫描检测。

一旦中招，Winzipper后门会为攻击者提供远程控制受害计算机的完整权限。攻击者可以窃取数据、实施系统监控，或安装其他恶意负载。该活动主要通过中文网站上的链接传播，利用了用户从非官方渠道获取软件的习惯。此次事件再次警示，从非官方来源下载软件，尤其是常用工具，具有极高风险。用户应始终访问软件官网获取安装程序，并保持安全软件开启。

网络安全研究人员披露，攻击者正在利用ChatGPT新推出的长期“记忆”功能和第三方平台“连接器”，实施一种被称为“ZombieAgent”的新型间接提示注入攻击。这种攻击使恶意指令能长期潜伏在AI的記憶中，每当用户与ChatGPT互动时都会被触发执行，例如窃取并外泄用户邮箱中的敏感信息。攻击者通过向用户邮箱发送隐藏恶意指令的邮件即可完成植入，利用了AI无法区分用户指令与外部输入内容的根本缺陷。

尽管OpenAI在研究人员披露后已采取修复措施，如禁止访问攻击者控制的域名，但专家指出这仅是权宜之计。问题的核心在于当前AI架构缺乏对指令来源和用户意图的深层理解与校验。攻击者无需复杂技术，仅通过“对话”即可说服AI执行窃密等恶意操作，这一“大脑发达的婴儿”般的特性使得此类威胁在短期内难以根除，对将AI深度集成到办公流程的企业构成持续风险。

网络安全公司趋势科技为其企业级安全管理平台Apex Central的本地Windows版本发布了紧急安全更新，修复了多个高危漏洞。其中最为严重的漏洞（CVE-2025-69258）CVSS评分高达9.8分，属于远程代码执行漏洞。攻击者可通过向受影响的MsgReceiver.exe组件发送特制消息，诱使系统加载恶意的DLL文件，从而在目标服务器上执行任意代码。

该漏洞与另外两个可导致拒绝服务的漏洞（CVE-2025-69259、CVE-2025-69260）均影响Build 7190以下的Apex Central版本。研究人员指出，利用这些漏洞需要攻击者事先能够访问到目标服务器所在的网络。尽管利用有一定前置条件，但由于Apex Central作为集中管理平台在企业内网中通常权限很高，一旦被攻破危害极大。趋势科技建议所有用户立即升级至最新版本，并审查对关键系统的远程访问策略。

安全研究人员发现一场复杂的网络钓鱼活动，通过操纵搜索引擎结果和滥用AI生成的摘要，诱骗用户访问假冒的Fortinet VPN下载网站。攻击者首先在信誉良好的GitHub Pages上创建了仿冒页面，当用户搜索“如何下载Fortinet VPN”时，搜索引擎的AI摘要功能可能会引用该页面内容，使其看似官方指南。用户点击后，会被脚本定向至最终的钓鱼网站。

该钓鱼网站高度模仿Fortinet官方设计，并弹窗要求用户输入VPN网关地址、用户名和密码，声称是“配置安装程序”所必需。一旦提交，凭证即被窃取。随后，网站才会提供真正的（或捆绑恶意软件的）安装程序，极具迷惑性。此次攻击充分利用了人们对AI摘要和GitHub域名的信任，实现了高成功率。它提醒组织和个人，切勿轻信搜索摘要，下载软件前务必核对浏览器地址栏是否为真正的官方域名。

与伊朗有关联的知名高级持续性威胁组织MuddyWater，近日升级了其攻击工具链，开始使用一款用Rust语言编写的新恶意软件“RustyWater”。该组织通过向中东地区外交、海事等领域发送鱼叉式钓鱼邮件，投递携带恶意宏的Word文档来传播此恶意软件。与以往惯用的PowerShell脚本相比，Rust语言编译的程序更难以分析和检测。

RustyWater具备高度的规避能力。它在运行前会主动扫描系统中超过25种杀毒软件和终端检测响应产品的痕迹，并据此调整自身行为以隐藏。该恶意软件会收集系统信息，通过加密通信回传至控制服务器，并能够通过注册表实现持久化驻留。此次工具升级标志着该APT组织正致力于提升其攻击的隐蔽性和对抗检测的能力，对目标行业的网络安全防御提出了新的挑战。

网络安全公司Greynoise发现，在2025年圣诞节期间，一个威胁行为者发起了大规模扫描活动，针对互联网上的系统测试了超过240种不同的漏洞利用。攻击者使用与香港某主机提供商关联的IP地址，以极短的间隔系统地探测目标，为每个系统尝试多达11种攻击手段，旨在识别潜在的安全弱点。此次行动并非直接发动攻击，而是扮演“初始访问代理”的角色，旨在编制一份易受攻击系统的详细清单，并计划出售给下游的勒索软件团伙。

这项活动揭示了勒索软件生态的一个危险趋势：攻击前侦察的工业化和专业化。攻击者特意选择节假日安全团队值守薄弱时行动，以降低被发现的风险。他们使用了Nuclei等开源扫描工具，并通过大量独特的域名来接收扫描回传的数据。安全专家警告，任何在日志中发现与相关可疑IP或域名通信痕迹的组织，都应立即假设自身漏洞已被确认，相关信息可能已在黑市流通，需尽快修补漏洞并加强监控。

由于未更改出厂默认密码，美国加州帕洛阿尔托、门洛帕克等多个城市的行人过街语音提示信号灯在2025年4月遭黑客入侵。攻击者利用信号灯的蓝牙连接功能，近距离将设备中的合法音频文件替换为伪造埃隆·马斯克和马克·扎克伯格声音的AI生成内容，播放涉及政治和个人隐私的恶搞言论。此次事件暴露了关键公共基础设施中物联网设备存在的普遍性安全管理漏洞。

涉事的语音信号灯属于新型蓝牙连接设备，与需要物理接触中央控制箱的旧式系统不同，攻击者可通过无线方式轻松入侵。尽管这起事件目前看来更像一场恶作剧，并未直接干扰交通信号控制，但其严重性在于揭示了公共设施网络的脆弱性。加州交通局在事件发生后已全面检查并更新了受影响路口的设备密码。安全专家指出，此类“弱密码”问题在物联网设备中极为常见，若不加以重视，未来可能被用于更具破坏性的攻击，如扰乱交通秩序。

网络安全厂商发出紧急通告，企业级邮件服务器软件SmarterMail中存在一个任意文件上传漏洞（CVE-2025-52691），其CVSS风险评分高达罕见的10.0满分。该漏洞允许未经身份验证的攻击者，将任意恶意文件上传至邮件服务器的任意目录位置。利用此漏洞，攻击者能够远程执行代码，从而完全控制整个邮件服务器，窃取所有邮件数据或进行破坏。

该漏洞影响100.0.9413之前的所有SmarterMail版本。根据网络空间测绘数据，全球范围内可能有超过4万台服务器暴露此风险。目前，漏洞的技术细节和利用代码已公开，大大降低了攻击门槛，导致大规模攻击的风险急剧上升。软件开发商已发布修复补丁，强烈建议所有用户立即将软件升级至最新安全版本。由于邮件服务器通常存储着海量商业机密和通信记录，该漏洞对使用该软件的企业机构构成了极其严重的威胁。

欧洲空间局再次遭遇重大数据泄露事件。一个名为“Scattered Lapsus$ Hunters”的黑客组织声称，其利用一个未修复的公开漏洞，于2025年9月侵入ESA网络，窃取了约500GB高度敏感的技术数据。据称，被盗数据包括航天器操作流程、完整的技术规格文档、环境测试报告以及多项未来任务的路线图，甚至涉及SpaceX、空中客车等核心合作承包商的专有技术文件。

这是ESA在短时间内披露的第二起重大安全事件。就在2025年12月底，该机构刚证实另一批200GB的研发数据因外部协作服务器被入侵而外泄。此次事件若属实，不仅威胁欧洲自身的航天安全与技术优势，还可能因其供应链波及全球数百家航空航天承包商，演变为一场影响深远的行业级供应链安全危机。ESA已就此事启动刑事调查，但事件的连续发生引发了对该顶级科研机构网络安全防御体系的深切担忧。

网络安全公司披露，谷歌Chrome商店中两个伪装成“AI工具侧边栏”的恶意扩展程序，在数周内窃取了约90万用户的敏感数据。这两个扩展名为“ChatGPT for Chrome”和“AI Sidebar”，声称提供与ChatGPT、DeepSeek等AI模型的便捷聊天接口，但却在后台秘密上传用户与AI的全部对话历史、浏览器访问记录、标签页URL乃至搜索查询到攻击者控制的服务器。

由于用户常在AI对话中输入代码片段、商业策略、法律文书等机密信息，此次数据泄露构成了严重的企业安全风险。失窃数据可被用于企业间谍、定向钓鱼或在地下论坛出售。令人担忧的是，其中一个恶意扩展甚至带有谷歌官方认证的“精选”徽章，利用了用户对平台审核的信任。虽然涉事扩展现已被下架，但事件凸显了第三方浏览器扩展，尤其是那些请求广泛数据权限的扩展，可能成为窃取核心数字资产的隐蔽渠道。

信息来源：人民网 国家计算机网络应急技术处理协调中心 国家信息安全漏洞库 今日头条 360威胁情报中心 中科汇能GT攻防实验室 安全牛 E安全 安全客 NOSEC安全讯息平台 火绒安全 亚信安全 奇安信威胁情报中心 MACFEESy mantec白帽汇安全研究院 安全帮  卡巴斯基 安全内参 安全学习那些事 安全圈 黑客新闻 蚁景网安实验室 IT之家IT资讯 黑客新闻国外 天际友盟

本文版权归原作者所有，如有侵权请联系我们及时删除