Istraživači bezbjednosti iz Malwarebytes upozoravaju na sofisticiranu kampanju lažnog predstavljanja koja cilja korisnike popularnog alata za arhiviranje 7-Zip. Operacija koristi uvjerljiv lažni domen — 7zip.com — koji gotovo u potpunosti imitira zvaničnu stranicu, 7-Zip.org, uključujući raspored elemenata, tekst i dugmad za preuzimanje.
Na prvi pogled, čak i iskusni korisnici mogu biti prevareni.
Kako prevara funkcioniše
Lanac napada kombinuje pametni socijalni inženjering i tehničku prikrivenost:
- Pozicioniranje kroz plaćene oglase u pretrazi: Lažna stranica se navodno pojavljuje iznad legitimnih rezultata za upite poput „7-Zip download“.
- Važeći HTTPS sertifikat: Ikonica katanca je prisutna, što dodatno uliva povjerenje.
- Gotovo identičan dizajn: Izgled je gotovo preslikan sa prave stranice 7-zip.org.
Ali ključna stvar je sljedeća: instalacioni fajl sa lažne stranice zaista instalira funkcionalnu verziju 7-Zip-a.
I tu leži opasnost.
Korisnici dobijaju aplikaciju koju su očekivali — pa ništa ne djeluje sumnjivo. U pozadini se, međutim, tiho instalira dodatni maliciozni sadržaj.
Šta se instalira u pozadini
Pored legitimne instalacije 7-Zip-a, dodatni zlonamjerni fajlovi se smještaju u direktorij:
C:\Windows\SysWOW64\hero\
Prijavljena imena fajlova uključuju:
- Uphero.exe
- hero.exe
- hero.dll
Izbor lokacije nije slučajan. Malware se često skriva unutar pouzdanih Windows sistemskih putanja kako bi izbjegao površnu provjeru. Većina korisnika neće tražiti sumnjive fajlove duboko u SysWOW64 direktoriju.
Perzistencija i SYSTEM privilegije
Trojanac obezbjeđuje trajnost na sistemu tako što:
- Registruje Windows servise
- Podesi ih da se automatski pokreću
- Pokreće ih sa SYSTEM privilegijama
Na taj način malver opstaje i nakon restartovanja sistema i dobija širok nivo kontrole.
Takođe koristi netsh za izmjene firewall pravila, omogućavajući instaliranim komponentama nesmetanu komunikaciju sa spoljnim serverima.
Pravi cilj: izgradnja rezidencijalne proxy mreže
Ovo nije jednokratna infekcija, već infrastrukturni model zarade.
Kada je računar kompromitovan, postaje dio rezidencijalne proxy mreže. To znači:
- Vaša IP adresa može biti iznajmljena
- Vaš internet protok može biti iskorišćen
- Saobraćaj trećih strana može se rutirati kroz vašu konekciju
Rezidencijalne IP adrese imaju visoku vrijednost za aktivnosti koje zahtijevaju geografski raspršene ili anonimne izvore saobraćaja. Drugim riječima, vaš računar postaje tuđi mrežni resurs.
Tehnike izbjegavanja detekcije
Kampanja uključuje više metoda za smanjenje šanse otkrivanja:
- Provjeru da li se izvršava unutar VMware ili VirtualBox okruženja
- Obustavljanje rada u analiznim (sandbox) okruženjima
- TLS-enkriptovan mrežni saobraćaj
- Korišćenje DNS-over-HTTPS (navodno preko Google resolvera)
- Preusmjeravanje saobraćaja kroz velike posredničke servise radi prikrivanja
Rezultat je tiha kompromitacija sistema koja može ostati neprimijećena, osim ako bezbjednosni alati ne zabilježe:
- Sumnjivo kreiranje novih servisa
- Neočekivane izmjene firewall pravila
- Nepoznate izvršne fajlove unutar SysWOW64 poddirektorija
Šta uraditi ako ste preuzeli sa 7zip.com
Ako ste ikada instalirali 7-Zip sa domena 7zip.com, tretirajte to kao bezbjednosni incident.
Preporučeni koraci:
- Provjerite zvanični domen (7-zip.org) prije ponovne instalacije.
- Pregledajte Windows servise i potražite nepoznate unose koji upućuju na hero direktorij.
- Provjerite C:\Windows\SysWOW64\ za neočekivane podfoldere.
- Pokrenite pouzdan bezbjednosni skener.
- Vratite firewall pravila na podrazumijevane, provjerene postavke.
Pouka je jasna: uvijek provjerite tačan domen prije preuzimanja softvera — čak i kada je riječ o poznatim i široko korišćenim alatima. Ikonica katanca i poznat dizajn više nisu garancija bezbjednosti.
