Ondsinnet 7-Zip nettsted distribuerer installasjonsfil med skjult proxy verktøy.
Ondsinnet 7-Zip nettsted distribuerer installasjonsfil med skjult proxy verktøy
Et falskt nettsted som imiterer den populære arkiveringsprogramvaren 7-Zip (hostet på 7zip[.]com i stedet for den legitime 7-zip.org) distribuerer en trojanisert installasjonsfil som i tillegg til selve 7-Zip programmet installerer skjult skadevare som gjør den infiserte enheten om til en "residential proxy node" for trusselaktører. Den ondsinnede koden legger igjen flere komponenter i C:\Windows\SysWOW64\hero, oppretter Windows tjenester med SYSTEM privilegier, og endrer brannmurregler for å tillate inn- og utgående tilkoblinger. Proxy-noden kan deretter brukes til å rute trafikk, maskere angriperes opprinnelse eller hjelpe annen kriminalitet, og skadevare trafikken kommuniserer via et roterende kommando- og kontrollnettverk (C2) med krypterte protokoller. Kampanjen ble først oppdaget etter at en bruker lastet ned installasjonen via en lenke fra en YouTube tutorial, og den ondsinnede siden var fortsatt aktiv ved artikkelens publisering. Tidligere analyser indikerer også at tilsvarende trojaniserte installatører for andre populære apper som Hola VPN, TikTok, WhatsApp og Wire har blitt distribuert på lignende vis.
Brukere anbefales å laste ned programvare kun fra offisielle nettsider og sjekke lenker nøye før installasjon for å være sikre på at disse kommer fra det offisielle nettstedet.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.