假冒 7-Zip 的 7zip.com 正在散播惡意軟體
https://t.me/HackerNews100zhTW/16212
Malwarebytes 指出,有人架設仿冒的 7-Zip 下載站 7zip.com,提供「看起來正常」但已被植入木馬的安裝程式:它一邊安裝可正常使用的 7-Zip 檔案管理器,一邊在背景把受害者電腦變成「住宅代理(residential proxy)」節點。案例來自 Reddit 的 r/pcmasterrace:一名組裝新 PC 的使用者照著 YouTube 教學影片操作,被引導到 7zip.com 下載(正牌只有 7-zip.org),先裝在筆電、再用 USB 帶到新桌機。安裝過程出現 32/64 位元錯誤後他改用 Windows 內建解壓縮工具,以為沒事;近兩週後才被 Windows Defender 以 Trojan:Win32/Malgent!MSR 類型警示抓到,顯示這類「網域差一點點」的誤導足以造成長時間、低察覺的入侵。

Hacker News 100 繁體中文

假冒 7-Zip 的 7zip.com 正在散播惡意軟體 (★ 120 分) Malwarebytes 指出,有人架設仿冒的 7-Zip 下載站 7zip.com,提供「看起來正常」但已被植入木馬的安裝程式:它一邊安裝可正常使用的 7-Zip 檔案管理器,一邊在背景把受害者電腦變成「住宅代理(residential proxy)」節點。案例來自 Reddit 的 r/pcmasterrace:一名組裝新 PC 的使用者照著 YouTube 教學影片操作,被引導到 7zip.com 下載(正牌只有 7-zip.org),先裝在筆電、再用 USB 帶到新桌機。安裝過程出現 32/64 位元錯誤後他改用 Windows 內建解壓縮工具,以為沒事;近兩週後才被 Windows Defender 以 Trojan:Win32/Malgent!MSR 類型警示抓到,顯示這類「網域差一點點」的誤導足以造成長時間、低察覺的入侵。 技術分析顯示,該安裝器使用已被撤銷、但曾有效的 Authenticode(Windows 程式碼簽章機制)憑證簽署來營造可信感,並把惡意元件丟進不易被注意的 C:WindowsSysWOW64hero 目錄:包含 Uphero.exe(服務與更新載入器)、hero.exe(主要代理負載,使用 Go(Golang 程式語言)編譯)、hero.dll。它們會被註冊成 Windows 服務(services),以 SYSTEM 權限開機自動啟動,並透過 netsh(Windows 網路設定工具)調整防火牆規則以放行連線與更新;同時利用 WMI(Windows Management Instrumentation,系統管理介面)與 Windows API 盤點硬體、記憶體、CPU、磁碟與網路等指紋,並向 iplogger.org 回報。其核心目的不是勒索或偷資料,而是「代理軟體(proxyware)」變現:hero.exe 會從輪替的 C2(command-and-control,指揮控制)網域取得組態,並在非標準埠(如 1000、1002)建立對外代理通道,通訊還用 XOR(互斥或)等方式混淆;整體基礎設施常透過 Cloudflare 轉送、以 TLS(Transport Layer Security)加密,甚至用 DoH(DNS-over-HTTPS,以 HTTPS 進行 DNS 查詢)降低傳統 DNS 監控的能見度,並具備虛擬機偵測、反除錯等反分析設計。研究者也觀察到同一套手法延伸到 upHola、upTiktok、upWhatsapp 等多個仿冒品牌前台,顯示背後是一個可替換入口、共用後端的長期營利網路。 防禦建議方面,文章強調:只要曾執行過來自 7zip.com 的安裝器,就應視為已被入侵,因為其常駐服務、放寬防火牆與 SYSTEM 權限持久化都屬高風險行為。Malwarebytes 表示可移除已知變種並逆轉其持久化機制;若屬高風險或高度敏感用途機器,有人仍會選擇重灌作業系統求安心。實務上應養成固定從官方網域下載並加入書籤、對不熟的簽章身分提高警覺、定期檢查陌生的 Windows 服務與防火牆規則、在網路邊界封鎖已知 C2 網域與端點;而這次能釐清其真正用途,也仰賴多位獨立研究者把它從「疑似後門」追到「住宅代理變現」的完整鏈條。 Hacker News 討論則把矛頭指向「信任的外溢」:不少人認為 YouTube 教學影片是意外的惡意散播管道,觀眾又習慣無腦按一下安裝與警示視窗,導致 UAC(User Account Control,使用者帳戶控制)或 SmartScreen(微軟下載/執行風險警示)再醒目也常被忽略;也有人補充,許多開源工具在 Windows 上未必都有程式碼簽章,使「用簽章判斷安全」在現實中不易。討論延伸到簽章憑證價格:有留言指出程式碼簽章憑證已漲到每年超過 500 美元,部分原因是 CA/B Forum(憑證機構與瀏覽器業界論壇)提高要求、把標準憑證門檻拉近 EV(Extended Validation,加強驗證)並要求金鑰放在硬體 Token 且每年重發,讓小型專案更難負擔;因此也有人提議是否能有由捐款資助、提供給非營利開源開發者的憑證機制。實務解法上,有人改用 winget(Windows Package Manager,Windows 套件管理器)或 Homebrew(macOS 套件管理器)來避免記網址,但也有人提醒 winget 的提交流程偏自動化,未必能保證每次更新都有人力審核;另有一派討論「一般人怎麼辨識官方站」:有人主張搜尋引擎與瀏覽器釣魚封鎖已能擋掉不少(但也有人發現 Firefox 對 7zip.com 與 www.7zip.com 的封鎖行為不一致,甚至 Ctrl+Enter 自動補 www 可能踩雷),也有人建議查 Wikipedia、看程式碼儲存庫連回的官方頁、或從軟體內的 About 資訊找來源,同時提醒 SEO 與廣告投放仍可能把惡意連結擠到前面。討論也順帶批評 7-Zip 作者長期對 ASLR(Address Space Layout Randomization,位址空間配置隨機化)、DEP(Data Execution Prevention,資料執行防護)等防護功能態度保守,並有人改用 NanaZip 等分支版本;更有人點出這次「重點其實是商業模式」:proxyware 追求安靜共存、吃頻寬與把你家 IP 出租給他人做爬蟲/詐騙/廣告濫用,因此更難被傳統端點防護用「破壞性行為」偵測,有人甚至呼籲作業系統應預設更嚴格的「對外連線防火牆」,但也有人反駁這可能重演 Vista 時代警示疲勞,讓使用者最後仍照樣全部放行。 👥 57 則討論、評論 💬 https://news.ycombinator.com/item?id=47014995

t.me · Telegram

0

If you have a fediverse account, you can quote this note from your own instance. Search https://mistyreverie.org/notes/aj25m1rmxmh406n8 on your instance and quote it. (Note that quoting is not supported in Mastodon.)