导语:此次攻击活动并非仅伪装7-Zip,还通过篡改HolaVPN、TikTok、WhatsApp、Wire VPN等软件的安装包传播。
安全研究人员发现,一个伪造的7-Zip网站正在分发被植入木马的压缩工具安装包,该恶意程序会将用户电脑变为住宅代理节点。
住宅代理网络利用家庭用户设备转发流量,以此绕过访问限制,并实施凭证填充、网络钓鱼、恶意软件分发等各类恶意活动。
这一新型攻击活动因用户举报引发广泛关注:该用户在观看YouTube上的电脑装机教程后,依照教程指引,从一个冒充7-Zip官方的网站下载了恶意安装包。
攻击者注册了7zip.com域名,极易误导用户以为访问的是官方工具站点。此外,攻击者还完整复制了7-Zip官方网站(7-zip.org)的文字内容与页面结构。
传播木马化 7-Zip 安装包的恶意网站
研究人员对该安装包进行分析后发现,其使用一张已被吊销的数字证书签名,证书原颁发给Jozeal Network Technology Co.,Limited。
该恶意安装包内同样包含正常的7-Zip程序,可提供工具的完整功能,但会在安装过程中释放三个恶意文件:
·Uphero.exe——服务管理与更新加载程序
·hero.exe——代理核心载荷
·hero.dll——支持库
这些文件会被释放至C:\Windows\SysWOW64\hero\目录,程序还会以SYSTEM权限创建Windows自启动服务,确保恶意程序持久运行。同时,攻击者通过netsh命令修改防火墙规则,允许恶意程序发起内外网连接。
最终,恶意程序会通过Windows管理规范(WMI)与Windows应用程序接口采集主机硬件、内存、CPU、磁盘及网络配置信息,并将数据上报至iplogger.org。
研究人员在分析该恶意程序目的时表示:“尽管初步迹象显示其具备后门类功能,但进一步分析证实,该恶意软件的核心用途为代理程序。受感染主机会被纳入住宅代理网络,允许第三方通过受害者IP地址转发流量。”
分析显示,hero.exe会从轮换的smshero系列C2域名获取配置,并在1000、1002等非常规端口开启外连代理通道,控制指令则通过轻量级XOR算法进行混淆加密。
此次攻击活动并非仅伪装7-Zip,还通过篡改HolaVPN、TikTok、WhatsApp、Wire VPN等软件的安装包传播。
该恶意软件使用以hero/smshero为主题的轮换式命令控制基础设施,流量经Cloudflare并采用TLS加密的HTTPS协议传输;同时通过谷歌解析器使用HTTPS加密DNS(DoH),降低防守方对常规DNS流量监控的可见性。
程序还会检测VMware、VirtualBox、QEMU、Parallels等虚拟化环境及调试器,以此识别自身是否处于分析环境中。
安全专家建议用户,不要直接点击YouTube视频中的链接或搜索引擎推广结果,应为常用软件的官方下载页面添加书签,从正规渠道获取软件。
文章来源自:https://www.bleepingcomputer.com/news/security/malicious-7-zip-site-distributes-installer-laced-with-proxy-tool/如若转载,请注明原文地址
