Es hat kürzlich eine Suplanting-Kampagne gestartet, die als Haken einen schädlichen Installer verwendet, der scheint 7-Zip, das berühmte Kompressionsprogramm. Statt einfach die legitime Anwendung einzubeziehen, versteckt das herunterladbare Paket eine schädliche Komponente, deren Hauptziel nicht darin besteht, Dateien zu stehlen oder Festplatten zu verschlüsseln, sondern den PC des Opfers in einen privaten Proxy-Knoten zu konvertieren, der Fremdverkehr durch seine Verbindung verbindet.
Die Forschung veröffentlicht von Malharebytes Details die Operation des gedrosselten Installers: Neben der Installation von 7-Zip real, um Verdacht zu vermeiden, lässt der Installateur drei böswillige ausführbare im System (einschließlich Dateien identifiziert als Uphero.exe, hero.exe und hero.dll) innen C:\ Windows\ SysWOW64\ hero\, erstellt einen automatischen Start-up-Service, der mit SYSTEM-Privilegien läuft und Firewall-Regeln über netsh Dienstprogramm modifiziert, um eingehende und ausgehende Verbindungen zu akzeptieren. Diese Konfiguration ermöglicht Angreifern, den Verkehr durch die IP der infizierten Maschine zu leiten, so dass das Team Teil eines Netzwerks von Home-Proxies.
Diese Art von Proxyware hat legitime Verwendungen in einigen verteilten Verkehrsnetzen, aber in den Händen von Kriminellen dient es, um die Quelle von Angriffen zu verbergen, geografische Blockaden zu vermeiden, Stäbchen von Credental-Kampagnen, verteilen Phishing oder verbreiten Malware. Im analysierten Fall erfassen die Operatoren auch die Zielmaschineninformationen über WMI und Anrufe an Windows APIs - CPU-Informationen, Speicher, Festplatte und Konnektivität - und senden diese Daten an einen Remote-Registrierungsdienst, um die eingestellten Knoten zu katalogisieren und zu verwalten.
Technische Analysen zeigen, dass die Hauptausführbare Anforderungskonfiguration aus Domänen mit "hero / smshero" Mustern, die rotieren, und dass die Steuerungskommunikation verschlüsselt und mit einem Licht-XOR-Schema ostriert wird. Der Traffic wird durch die Cloudflare-Infrastruktur geleitet und fährt über HTTPS, sowie über DNS über HTTPS mit dem Google-Resolver, der die Sichtbarkeit traditioneller DNS-Beratungen reduziert und die Erkennung durch Verteidiger, die normale Auflösungen überwachen, erschwert. Es enthält auch Kontrollen, um virtualisierte Umgebungen (VMware, VirtualBox, QEMU, Parallels) und Debugging, typisches Verhalten, um nicht in forensischen Labors analysiert werden.
Diejenigen, die die Alarmstimme untersuchten und gaben, umfassen mehrere unabhängige Forscher und DFIR-Teams: das Finden des eigentlichen Zwecks von Malware wird von Luke Achat, während die Umkehr des XOR-Protokolls und die Bestätigung des Proxy-Verhaltens auf technische Veröffentlichungen zurückzuführen sind, die von X-Profilen, wie z.B. solchen von S1dhy und die Korrelation mit einer breiteren Kampagne Und was ist los?. Darüber hinaus sind Mittel wie BlepingComputer Sie korrodierten die Existenz der gefälschten Website, die auf der offiziellen 7-Zip-Website veröffentlicht wird.
Ein wichtiges Detail für die Vertrauenskette: der böswillige Installer wurde digital mit einem Zertifikat signiert, das später widerrufen wurde, ursprünglich an Jozeal Network Technology Co., Limited ausgestellt. Das Vorhandensein eines Unternehmens garantiert nicht die automatische Sicherheit, sondern die Überprüfung digitaler Signaturen und die Kontrastierung mit der offiziellen Projekt-Website ist eine der grundlegenden Kontrollen, die Probleme speichern können.
Die beunruhigende Sache ist, dass die Kampagne nicht auf die 7-Zip-Supplantation beschränkt ist. Laut der Analyse verwenden Angreifer gestrandete Installateure, die als andere beliebte Anwendungen, wie VPN-Kunden und Messaging-Apps, posieren, um ihr Netzwerk von Proxy-Knoten zu erweitern. Die Rekrutierung von Geräten wird als Social Engineering-Taktik verwendet: Links in Tutorials und Videos auf Plattformen wie YouTube oder geförderte Ergebnisse in Suchmaschinen, die auf Domänen, die die Originale imitieren zeigen.
Um das Risiko zu reduzieren, ist es angebracht, einige einfache Praktiken wiederherzustellen: Download-Software immer von offiziellen Seiten (zum Beispiel die legitime 7-Zip-Website ist auf https: / / www.7-zip.org), speichern Sie in den Favoriten die vertrauenswürdigen Portale und Misstrauen Links verankert in Videobeschreibungen oder in Anzeigen. Wenn ein verdächtiger Installer bereits ausgeführt wurde, wird empfohlen, die Maschine vom Netzwerk zu trennen, die Existenz von Ordnern und Diensten mit den angegebenen Namen zu überprüfen, Firewall-Regeln zu überprüfen und nach ungewöhnlichen ausgehenden Kommunikationen zu suchen; um Kompromissindikatoren und mehr technische Details zu erhalten, können Sie die oben erwähnte Publikation von Malharebytes sehen.
Wenn Sie denken, dass Ihre Ausrüstung beeinträchtigt wurde, ist die sicherste Maßnahme, es zu isolieren und professionelle Unterstützung zu verwenden: vollständige Entfernung in vielen Fällen beinhaltet die Wiederherstellung von einer sauberen Sicherung oder Neuinstallation des Betriebssystems, weil bösartige Dienste, die mit SYSTEM und Netzwerk-Modifikationen beginnen, können Hintertüren schwer zu löschen mit Oberflächenreiniger.
Kurz gesagt, diese Kampagne erinnert daran, dass die Angreifer Sozialtechnik mit Verdunkelungstechniken und mit einer modernen Befehls- und Kontrollinfrastruktur kombinieren, um Haushaltsgeräte in nutzbare Ressourcen umzuwandeln. Die Aufrechterhaltung aktueller Software, die Überprüfung von Quellen und Unterschriften und die Nutzung technischer Informationen, die von Forschern und Cybersicherheitsunternehmen veröffentlicht werden - wie die hier verlinkten Berichte - sind praktische Schritte, um die Wahrscheinlichkeit zu reduzieren, ein weiteres Stück in einem Home-Proxy-Netzwerk zu sein.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...
PinTheft die öffentliche Explosion, die Ihnen Wurzel auf Arch Linux geben könnte
Eine neue öffentliche Explosion hat die Fragilität des Linux-Privileg-Modells wieder auf die Oberfläche gebracht: Das V12-Sicherheitsteam nannte den Ausfall als PinTheater und v...