HackerNews 编译,转载请注明出处:
一个假冒的 7-Zip 网站正在分发这款流行压缩工具的木马化安装程序,该程序会将用户的计算机转变为住宅代理节点。
住宅代理网络利用家庭用户设备路由流量,旨在规避封锁并执行凭据填充、网络钓鱼和恶意软件分发等各种恶意活动。
有用户按照 YouTube 上的电脑装机教程操作时,从仿冒 7-Zip 项目的网站下载了恶意安装程序并进行上报,该新型攻击活动由此引发广泛关注。科技媒体 BleepingComputer 已证实,该恶意网站 7zip [.] com 目前仍可访问。
该威胁行为者注册了域名 7zip[.]com(撰写本文时仍活跃),很容易诱使用户误以为他们访问的是该合法工具的官网。
此外,攻击者还复制了原始 7-Zip 网站( 7-zip.org)的文本并模仿了其结构。
网络安全公司 Malwarebytes 的研究人员对该安装程序进行分析后发现,其搭载的数字证书已被吊销。
该恶意版本同时包含正常 7-Zip 程序,可提供工具的常规功能。但该安装程序会释放三个恶意文件:
· Uphero.exe – 服务管理器和更新加载器
· hero.exe – 主要代理负载
· hero.dll – 支持库
此外,攻击者使用 netsh 修改防火墙规则,以允许这些二进制文件建立入站和出站连接。
最终,主机系统会通过微软的 Windows 管理规范(WMI)和 Windows API 进行特征分析,以确定硬件、内存、CPU、磁盘和网络特性。收集到的数据随后被发送至 iplogger[.]org。
“虽然初步迹象表明其具有后门类能力,但进一步分析显示,该恶意软件的主要功能是代理工具,”Malwarebytes 在解释该恶意软件的操作目标时表示。“受感染的主机被注册为一个住宅代理节点,允许第三方通过受害者的 IP 地址路由流量。”
根据分析,hero.exe 从轮换的 C2 域拉取配置,然后在 1000 和 1002 等非标准端口上打开出站代理连接。控制消息使用轻量级 XOR 密钥进行混淆。
Malwarebytes 发现,该攻击活动的范围不止于 7-Zip 诱饵,还使用了针对 HolaVPN、TikTok、WhatsApp 和 Wire VPN 的木马化安装程序。
该恶意软件使用一个轮换 C2 基础设施,流量经过 Cloudflare 基础设施并通过 TLS 加密的 HTTPS 传输。
它还通过谷歌的解析器依赖 DNS-over-HTTPS,这降低了防御者监控标准 DNS 流量的可见性。
该恶意软件会检测 VMware、VirtualBox、QEMU、Parallels 等虚拟化环境及调试工具,规避安全分析行为。
Malwarebytes 在关注到独立安全研究人员对该恶意软件的分析及真实用途披露后,启动了相关调查。研究人员 Luke Acha 率先查明 Uphero/hero 恶意软件的用途。
研究人员 s1dhy 对基于异或加密的通信协议进行逆向分析与解码,证实了其代理行为。数字取证与应急响应(DFIR)工程师 Andrew Danis 将假冒 7-Zip 安装程序关联至这一假冒多款软件品牌的大型攻击活动。
Malwarebytes 公布了分析过程中发现的攻击指标(域名、文件路径、IP 地址)及主机相关特征数据。
建议用户不要点击 YouTube 视频或搜索推广链接中的网址,应在常用软件的官方下载域名添加书签。
消息来源: bleepingcomputer.com:
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文