網絡安全公司 Malwarebytes 於 2 月 8 日發出警告,指黑客偽造 7-Zip 官方網站,散播加入木馬程式的 7-Zip 應用程式。這個偽造 7-Zip 官網網址為 7zip .com,其設計版面及文字內容與正版網站 7-zip.org 完全相同,目前已知有大量用戶受影響。
▲真正官方網站 7-Zip.org
▲由黑客製作的 7-Zip .com,設計與官方網站幾乎一樣
惡意網站仍在活躍 具備合法 SSL 憑證
BleepingComputer 於 2 月 10 日確認該惡意網站仍處於活躍狀態。黑客更在 Google 搜尋引擎投放廣告,令其排名比正版網站更高,極易誘導用戶下載。有 Reddit 用戶表示,他因跟隨 YouTube 教學影片而誤下載該惡意程式。該用戶先在手提電腦安裝檔案,之後透過 USB 手指轉移到新組裝桌上電腦,期間遇到多次 32 位元與 64 位元錯誤,最終放棄使用該安裝程式,改用 Windows 內置解壓縮工具。直至近兩星期後,Microsoft Defender 才偵測到木馬程式並發出警報。
安裝程式同時釋放三個惡意木馬
Malwarebytes 研究人員分析指出,用戶若在 7zip.com 下載 7-Zip 應用程式,電腦確實會安裝正版 7-Zip 軟件,但安裝程式會同時在 C:\Windows\SysWOW64\hero\ 目錄下釋放三個惡意木馬:Uphero.exe(服務管理員及更新載入器)、hero.exe(代理負載主程式)及 hero.dll(支援函式庫)。該安裝程式使用已被撤銷的數碼憑證簽署,該憑證原本由 Jozeal Network Technology Co., Limited 持有。
受感染系統變成非法代理網絡
這些惡意木馬會建立以系統最高權限(SYSTEM)運作的自動啟動 Windows 服務,也會利用 netsh 指令修改防火牆規則,強制允許這些程式建立入站和出站連線。受感染系統會組成非法代理網絡,被黑客出租給第三方,變成殭屍網絡一員。這些住宅代理網絡可被犯罪分子用作隱藏真實身份,進行釣魚電郵、惡意軟件散播、勒索軟件攻擊及憑證填充攻擊等活動。
木馬具高度反偵察能力
該惡意木馬非常狡猾,具備高度反偵察能力。它會主動偵測系統是否運作在 VMware、VirtualBox、QEMU 及 Parallels 等虛擬機器環境中,一旦發現處於分析環境就會停止運作。在通訊層面,hero.exe 會從輪換的「smshero」主題控制伺服器網域獲取配置,然後在 1,000 及 1,002 等非標準連接埠建立出站代理連接。它透過 Cloudflare 基礎設施傳輸經 TLS 加密的流量,並利用 Google 解析器的 DNS-over-HTTPS 技術來隱藏 DNS 請求,導致常規安全監控手段難以察覺其異常行為。
更廣泛惡意活動
Malwarebytes 發現 7-Zip 偽造網站只是更大規模行動的一部分。研究人員識別出相關惡意程式,包括 upHola.exe、upTiktok、upWhatsapp 及 upWire,全部使用相同戰術、技術和程序。這些惡意程式同樣會部署到 SysWOW64 目錄、建立 Windows 服務持久性、透過 netsh 操控防火牆規則,並使用加密的 HTTPS 控制伺服器流量。嵌入字串參考 VPN 及代理品牌,顯示有統一後端支援多個分發前線。
如何保護自己
安全專家建議用戶驗證軟件來源並將官方網站加入書籤,對意外程式碼簽署身份保持懷疑,並監察未經授權的 Windows 服務及防火牆規則變更。Malwarebytes 研究經理 Stefan Dasic 警告:「任何曾在 7zip.com 執行安裝程式的系統都應視為已被入侵」。雖然這個惡意軟件建立了系統級持久性並修改防火牆規則,但信譽良好的安全軟件能有效偵測並移除惡意元件。Malwarebytes 表示其工具可以完全根除已知變種,並還原其持久性機制。
資料來源:Malwarebytes
分享到 :
最新影片
