黑客伪造 7-Zip 官方网站散播加入木马的 7-Zip 应用程式

网络安全公司 Malwarebytes 于 9 日警告，黑客伪造 7-Zip 官方网站散播加入木马的 7-Zip 应用程式。这个伪造的 7-Zip 官网为 7zip.com，其设计版面、文字内容均与正版网站 7-Zip.org 完全一模一样，目前已知有大量用家中招。
根据 HKEPC 实测，该恶意网站目前仍处于活跃状态，并且具备合法的 SSL 数码凭证，因此不少用户都会中招。而且黑客会在 Google 搜寻引擎投放广告，其排名会比正版网站更高，极易诱导用户下载。
Malwarebytes 研究人员分析指出，用家如果在 7zip.com 下载 7-Zip 应用程式，电脑确实会安装正版 7-Zip 软件，但安装程式会同时在 C:\Windows\SysWOW64\hero\ 目录下释放三个恶意木马：Uphero.exe（服务管理员）、hero.exe（代理负载主程式）及 hero.dll。
这些恶意木马不仅会建立以系统最高权限（SYSTEM）运作的自动启动服务，还会利用 netsh 指令修改防火墙规则，强制允许这些程式建立入站和出站连线。受感染的系统会组成非法代理网络，被黑客出租给第三方，变成殭尸网络的一员，并被用作网络攻击活动。
该恶意木马非常狡猾，具备高度的反侦察能力。它会主动侦测系统是否运作在 VMware、VirtualBox 等虚拟机器环境中，一旦发现处于分析环境就会停止运作。
在通讯层面，它透过 Cloudflare 基础设施传输经 TLS 加密的流量，并利用 Google 解析器的 DNS-over-HTTPS 技术来隐藏 DNS 请求，导致常规的安全监控手段难以察觉其异常行为。
如果你曾经在 7zip.com 下载并安装 7-Zip 应用程式，请务必检查自己的系统是否已被感染。