一個假冒的 7-Zip 網站正在散佈一款植入木馬的安裝程序，該程序會將用戶的電腦變成一個住宅代理節點。住宅代理網路利用家庭用戶設備路由流量，目的是繞過封鎖並執行各種惡意活動，例如憑證填充、網路釣魚和惡意軟體傳播。

一位用戶報告稱，他在按照 YouTube 上的電腦組裝教程操作時，從一個冒充 7-Zip 項目的網站下載了一個惡意安裝程序，此後，這一新的攻擊活動才廣為人知。 BleepingComputer 可以確認，該惡意網站 7zip[.]com 目前仍然有效。

威脅行為者註冊了網域7zip[.]com（截至撰寫本文時仍然有效），該網域很容易誘騙用戶誤以為自己造訪了合法工具的網站。此外，攻擊者複製了文字並模仿了位於 7-zip.org 的原始 7-Zip 網站的結構。

網路安全公司 Malwarebytes 的研究人員分析了安裝程式文件，發現該文件使用現已撤銷的憑證進行了數位簽名，該證書最初頒發給了 Jozeal Network Technology Co., Limited。

惡意副本還包含 7-Zip 程序，因此具備該工具的常規功能。但是，安裝程式會釋放三個惡意檔案：

(1)     Uphero.exe – 服務管理員和更新載入程序

(2)     hero.exe – 主代理有效載荷

(3)     hero.dll – 支援庫

這些檔案被放置在「C:\Windows\SysWOW64\hero\」目錄中，並為這兩個惡意執行檔建立了一個以 SYSTEM 身分執行的自動啟動 Windows 服務。此外，使用「netsh」修改防火牆規則，以允許二進位檔案建立入站和出站連線。

最終，利用微軟的Windows管理規格（WMI）和Windows API對主機系統進行分析，以確定其硬體、記憶體、CPU、磁碟和網路特性。收集到的資料隨後被傳送到「iplogger[.]org」。

Malwarebytes 解釋說：雖然最初的跡象表明該惡意軟體具有後門功能，但進一步的分析表明，該惡意軟體的主要功能是代理軟體。受感染的主機被註冊為住宅代理節點，允許第三方透過受害者的 IP 位址路由流量。

根據分析，hero.exe從輪換的「smshero」主題 C2 網域拉取配置，然後在 1000 和 1002 等非標準連接埠上開啟出站代理連線。控制訊息使用輕量級 XOR 密鑰進行混淆。

Malwarebytes 發現，這次攻擊活動比 7-Zip 誘餌規模更大，還使用了針對 HolaVPN、TikTok、WhatsApp 和 Wire VPN 的木馬安裝程式。該惡意軟體使用圍繞 hero/smshero 域名構建的輪換 C2 基礎設施，流量透過 Cloudflare 基礎設施並透過 TLS 加密的 HTTPS 傳輸。

它還依賴透過Google解析器實現的 DNS-over-HTTPS，這降低了防禦者監控標準 DNS 流量的可見性。該惡意軟體還會檢查 VMware、VirtualBox、QEMU、Parallels 等虛擬化平台以及偵錯器，以確定它何時被分析。

Malwarebytes 列出了在分析過程中觀察到的入侵指標（網域名稱、檔案路徑、IP 位址）和主機相關資料。

建議使用者避免點擊 YouTube 影片或推廣搜尋結果中的 URL，而是將常用軟體的下載入口網站網域加入書籤。

資料來源：https://www.bleepingcomputer.com/news/security/malicious-7-zip-site-distributes-installer-laced-with-proxy-tool/