【安全资讯】恶意7-Zip网站分发捆绑代理工具的安装程序

概要：

在当今数字化时代，软件供应链攻击已成为网络安全的主要威胁之一。近日，一个仿冒的7-Zip官方网站被发现分发捆绑了恶意代理工具的安装程序，该事件凸显了利用知名软件品牌进行网络犯罪的严重性。这种攻击不仅损害了用户利益，还可能被用于更广泛的恶意活动，如网络钓鱼和恶意软件分发，对个人和企业信息安全构成直接威胁。

主要内容：

网络安全研究人员发现，一个注册为7zip[.]com的恶意网站正在分发经过篡改的7-Zip安装程序。该网站精心模仿了正版7-Zip官网（7-zip.org）的文本和结构，极易误导用户。安装程序本身包含正常的7-Zip功能，但同时会释放三个恶意文件：Uphero.exe（服务管理器和更新加载器）、hero.exe（主要代理负载）和hero.dll（支持库）。

这些文件被放置在‘C:\Windows\SysWOW64\hero\’目录下，并创建一个以SYSTEM权限运行的Windows自启动服务。攻击者还使用‘netsh’修改防火墙规则，允许恶意二进制文件建立入站和出站连接。感染后，恶意软件会使用WMI和Windows API对主机系统进行剖析，收集硬件、内存、CPU、磁盘和网络特征数据，并发送至‘iplogger[.]org’。

分析表明，hero.exe的主要功能是从轮换的、以“smshero”为主题的C2域拉取配置，然后在1000和1002等非标准端口上打开出站代理连接。控制消息使用轻量级XOR密钥进行混淆。该恶意软件将受感染主机注册为住宅代理节点，使第三方能够通过受害者的IP地址路由流量，用于逃避封锁并实施凭证填充等恶意活动。

此次攻击活动规模较大，不仅针对7-Zip，还使用了HolaVPN、TikTok、WhatsApp和Wire VPN的木马化安装程序。其C2基础设施围绕hero/smshero域名构建，流量通过Cloudflare基础设施并以TLS加密的HTTPS传输，同时依赖Google解析器的DNS-over-HTTPS，增加了防御者监控的难度。该恶意软件还具备反分析能力，会检查VMware、VirtualBox等虚拟化平台以及调试器。