В сети обнаружена масштабная кампания по распространению вредоносного программного обеспечения, которое маскируется под популярный архиватор 7-Zip. Хакеры создали страницу, полностью копирующую дизайн официального проекта, и разместили ее на домене 7zip.com. Пользователи, скачавшие ПО с этого ресурса, рискуют превратить свои компьютеры в узлы прокси-сети, используемой киберпреступниками для анонимизации трафика.
История получила огласку после того, как один из пользователей пожаловался на заражение после просмотра обучающего ролика на YouTube, где рекомендовалось скачать архиватор. Специалисты компании Malwarebytes выяснили, что вредоносный установщик имеет цифровую подпись на имя Jozeal Network Technology Co., Limited, сертификат которой уже отозван. При запуске файл корректно инсталлирует сам 7-Zip, чтобы не вызывать подозрений, однако в фоновом режиме распаковывает дополнительные компоненты в системную папку Windows.
Вредоносная программа закрепляется в системе путем создания службы с правами администратора и вносит изменения в правила брандмауэра для разрешения сетевой активности. После этого троян собирает технические данные о процессоре, памяти и дисках, отправляя их на удаленный сервер. Основная задача зловреда заключается в маршрутизации стороннего трафика через компьютер жертвы. Разработчики вируса предусмотрели защиту от анализа: программа умеет определять запуск в виртуальных средах или наличие отладчиков, скрывая в таких случаях свою активность.
Эксперты по кибербезопасности отмечают, что данная атака является частью более крупной схемы, в которой также используются поддельные установщики для TikTok и других популярных утилит. Несмотря на то, что в некоторые моменты фальшивый сайт может отдавать чистый файл, администраторы домена могут в любой момент подменить его на зараженную версию. Пользователям настоятельно рекомендуется проверять адресную строку и скачивать программное обеспечение исключительно с официального ресурса 7-zip.org.
Источник: www.playground.ru