Поддельный сайт 7-Zip распространяет троянизированный установщик популярного архиватора, который превращает компьютер пользователя в узел резидентного прокси.
Сети резидентных прокси используют устройства домашних пользователей для маршрутизации трафика с целью обхода блокировок и выполнения различных вредоносных действий, таких как подстановка учетных данных, фишинг и распространение вредоносного ПО.
Новая кампания стала более известной после того, как пользователь сообщил, что загрузил вредоносный установщик с сайта, выдававшего себя за проект 7-Zip, следуя инструкциям в видеоуроке на YouTube по сборке ПК. BleepingComputer может подтвердить, что вредоносный веб-сайт 7zip[.]com все еще активен.
Злоумышленник зарегистрировал домен 7zip[.]com (активный на момент написания), который может легко ввести пользователей в заблуждение, заставив их думать, что они попали на сайт легитимного инструмента.
Кроме того, злоумышленник скопировал текст и имитировал структуру оригинального веб-сайта 7-Zip, расположенного по адресу 7-zip.org.
Файл установщика был проанализирован исследователями из компании по кибербезопасности Malwarebytes, которые обнаружили, что он подписан отозванным сертификатом, изначально выданным Jozeal Network Technology Co., Limited.
Вредоносная копия также содержит программу 7-Zip, обеспечивая обычные функции инструмента. Однако установщик разворачивает три вредоносных файла:
- Uphero.exe – менеджер служб и загрузчик обновлений
- hero.exe – основной прокси-payload
- hero.dll – вспомогательная библиотека
Эти файлы размещаются в каталоге ‘C:\Windows\SysWOW64\hero\’, и для двух вредоносных исполняемых файлов создается служба Windows с автозапуском, работающая под SYSTEM.
Кроме того, правила брандмауэра изменяются с помощью ‘netsh’ для разрешения двоичным файлам устанавливать входящие и исходящие соединения.
В конечном итоге система профилируется с помощью Windows Management Instrumentation (WMI) и Windows API Microsoft для определения характеристик оборудования, памяти, ЦП, диска и сети. Собранные данные затем отправляются на ‘iplogger[.]org.’
«Хотя первоначальные индикаторы указывали на возможности типа бэкдора, дальнейший анализ показал, что основная функция вредоносного ПО — это проксивар», — объясняют Malwarebytes операционную цель вредоносного ПО.
«Зараженный хост регистрируется как узел резидентного прокси, позволяя третьим сторонам маршрутизировать трафик через IP-адрес жертвы».
Согласно анализу, hero.exe получает конфигурацию с ротируемых C2-доменов на тему “smshero”, затем открывает исходящие прокси-соединения по нестандартным портам, таким как 1000 и 1002. Управляющие сообщения обфусцируются с использованием легковесного XOR-ключа.
Malwarebytes обнаружили, что кампания шире, чем приманка с 7-Zip, и также использует троянизированные установщики для HolaVPN, TikTok, WhatsApp* и Wire VPN.
Вредоносное ПО использует ротируемую C2-инфраструктуру, построенную вокруг доменов hero/smshero, с трафиком, проходящим через инфраструктуру Cloudflare и передаваемым по зашифрованным TLS HTTPs.
Оно также полагается на DNS-over-HTTPS через резолвер Google, что снижает видимость для защитников, отслеживающих стандартный DNS-трафик.
Вредоносное ПО также проверяет наличие платформ виртуализации, таких как VMware, VirtualBox, QEMU, Parallels, а также отладчиков, чтобы определить, когда оно анализируется.
Расследование Malwarebytes началось после того, как они заметили исследования независимых исследователей безопасности, которые проанализировали вредоносное ПО и раскрыли его истинное назначение. Исследователь Люк Ача обнаружил назначение вредоносного ПО Uphero/hero.
Протокол связи на основе XOR был реверс-инжинирингован и декодирован s1dhy, который подтвердил прокси-поведение. Инженер по цифровой криминалистике и реагированию на инциденты (DFIR) Эндрю Данис связал поддельный установщик 7-Zip с более крупной кампанией, выдававшей себя за несколько программных брендов.
Malwarebytes приводит индикаторы компрометации (домены, пути к файлам, IP-адреса) и данные, связанные с хостом, наблюдавшиеся во время их анализа.
Пользователям рекомендуется избегать перехода по URL-адресам из видео на YouTube или рекламным результатам поиска, а вместо этого добавлять в закладки домены порталов загрузки часто используемого программного обеспечения.
Facebook*, Instagram* и WhatsApp* принадлежат компании Meta* Platforms Inc., деятельность которой признана экстремистской и запрещена на территории Российской Федерации.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bill Toulas
