假冒 7-Zip 网站肆虐：黑客盗用你的宽带组建非法代{过}{滤}理网络

anyangmo

假冒 7-Zip 网站肆虐：黑客盗用你的宽带组建非法代{过}{滤}理网络

IT之家 2 月 11 日消息，网络安全公司 Malwarebytes 于 2 月 9 日发布博文，一个伪造的 7-Zip 官方网站（7zip.com）正在通过搜索引擎和 YouTube 教程传播木马程序。

本次安全事件源于一名用户在观看 YouTube 组装电脑教程时，点击了视频下方的链接下载 7-Zip。该链接指向域名为 7zip [.]com 的网站，其页面布局、文本内容几乎与官方正版网站 7-zip.org 一模一样，极具欺骗性。

IT之家援引 bleepingcomputer 媒体报道，该恶意网站目前仍处于活跃状态，且通过数字证书伪装，极易诱导用户下载。

Malwarebytes 研究人员分析发现，受害者运行该安装包后，电脑确实会安装正版 7-Zip 软件，但安装程序会同时在 C:\Windows\SysWOW64\hero\ 目录下释放三个恶意文件：Uphero.exe（服务管理器）、hero.exe（代{过}{滤}理负载主程序）及 hero.dll。

恶意软件不仅会创建以系统最高权限（SYSTEM）运行的自动启动服务，还会利用 netsh 命令修改防火墙规则，强制允许这些程序建立入站和出站连接。

该恶意软件的核心目的并非单纯破坏，而是将受害者的电脑转化为“住宅代{过}{滤}理节点”。黑客利用 Windows 管理规范（WMI）搜集受害者的硬件、网络及磁盘信息，并将这些数据发送至远程服务器。

随后，受感染设备会被租售给第三方，用于隐藏攻击者的真实 IP 地址，从而执行网络钓鱼、凭证填充（撞库）等非法活动。

该恶意软件为了逃避安全检测，具备高度的反侦察能力。它会主动检测系统是否运行在 VMware、VirtualBox 等虚拟机环境中，一旦发现处于分析环境便会停止运行。

在通信层面，它通过 Cloudflare 基础设施传输经 TLS 加密的流量，并利用谷歌解析器的 DNS-over-HTTPS 技术来隐藏 DNS 请求，导致常规的安全监控手段难以察觉其异常行为。

研究人员发现，同一攻击团伙还利用类似手法，制作了 TikTok 和 WhatsApp 等软件的木马安装包。安全专家建议，用户下载软件时务必通过书签访问官方域名，切勿轻信视频网站或搜索引擎推广中的第三方下载链接。

原文地址：https://www.ithome.com/0/920/975.htm