安全研究人员于近期发现,一个冒充7-Zip官方网站的恶意站点通过域名7zip.com分发被植入木马的安装包,伪装成正统的7-Zip下载页面并复制官方内容。该安装包使用一张已吊销的数字证书(原属Jozeal Network Technology Co., Limited)签名,安装后会释放Uphero.exe、hero.exe和hero.dll三个恶意文件至C:\Windows\SysWOW64\hero\,并以SYSTEM权限创建自启动服务,修改防火墙规则以允许外部连接。恶意程序通过WMI接口采集主机硬件、CPU、内存、磁盘及网络信息并上报至iplogger.org,实现对受感染主机的远程控制,并将主机纳入住宅代理网络用于流量转发、凭证填充等恶意活动。研究显示,C2服务器采用轮换的smshero及其子域名,通信端口多为1000、1002等非标端口,并通过XOR算法对指令进行轻度混淆,流量经Cloudflare TLS加密并使用DoH隐蔽DNS查询。攻击者还利用HolaVPN、TikTok、WhatsApp、Wire VPN等软件包进行二次传播。该事件凸显了从非官方渠道下载软件的风险,并提醒用户应直接访问官方站点或通过书签获取软件,以降低被植入代理类恶意软件的可能。
该事件表明,攻击者利用伪官网planting proxy‑type malware,将受害主机转为住宅代理,泄露用户IP并可能用于凭证填充等攻击。企业应加强终端检测、监控异常外连行为,并在采购或降级软件时坚持通过官方渠道验证签名,避免因下载包导致信息泄露。
防泄密意识需提升,建议建立白名单下载政策并定期审计部署的第三方组件。
技术专家
QQ
订阅号