Всегда получайте свои программы из надежных источников. Вредоносный сайт 7-zip.com распространял зараженные файлы, превращая ПК в часть ботнета. Узнайте, как избежать подобных угроз. — tomshardware.com
При настройке нового ПК мы устанавливаем утилиты вроде 7-Zip, PeaZip или WinRAR почти на автомате. Однако легко попасться на удочку скачивания вредоносных исполняемых файлов из неофициальных источников. Именно это и произошло примерно на 10 дней с сайтом 7-zip.com.
Официальный сайт проекта 7-Zip — 7-zip.org. Однако, как это часто бывает, бесплатные проекты привлекают сайты-клоны, чья обычная цель — занять достаточно высокие позиции в поисковой выдаче, чтобы получать переходы и зарабатывать на рекламе. Похоже, так было и с 7-zip.com, пока в период с 12 по 22 января ссылки для скачивания не начали перенаправлять пользователей на исполняемый файл, зараженный вредоносным ПО.
Перенаправление ссылок было довольно хитрым: при заходе на 7-zip.com вы видели обычные ссылки на официальные исполняемые файлы с 7-zip.org. Но примерно через 20-30 секунд срабатывал скрипт, заменяющий ссылки на зараженные файлы. Это было сделано для того, чтобы базовые автоматизированные утилиты сканирования сайтов видели чистую ссылку и не помечали сайт как вредоносный.
Мы сами проверили это, посетив Wayback Machine, но категорически не советуем другим повторять наш опыт. Вредоносное ПО само по себе не очень активно, но оно устанавливает прокси-сервер, превращая ПК жертвы в часть удаленно управляемой ботсети. Оттуда злоумышленники могут направлять свою деятельность, чтобы скрыть свои следы. MalwareBytes подробно описала этот троян на своем сайте, а эксперт по кибер-безопасности Люк Ача опубликовал технический анализ.
Что касается вредоносных намерений сайта, сказать сложно. В конце концов, вряд ли удастся заработать на рекламе, если сайт помечен как распространяющий вредоносное ПО. Это был бы не первый (и не миллионный) случай, когда рекламная сеть распространила вредоносный скрипт — хотя тот факт, что наши машины с NextDNS и блокировкой рекламы не заблокировали данный скрипт, вызывает беспокойство.
Впервые проблему заметили пользователи SourceForge в теме на форуме, а первой технической организацией, обнаружившей ее, похоже, стал японский консорциум IISJ-SECT. Широкую известность ситуация получила благодаря посту на Reddit, где несчастный пользователь описал, как следовал видеоуроку на YouTube, который привел его на вредоносный сайт — вероятно, непреднамеренно, поскольку тот выглядел вполне официально.
Урок здесь ясен: всегда скачивайте программное обеспечение из официальных источников и убедитесь, что вы точно знаете, что такое официальный источник. Кроме того, стоит приложить дополнительные усилия и проверить хэши скачанных файлов — мы рекомендуем HashTools для Windows, а для Linux — sha256sum или GtkHash/QuickHash.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Bruno Ferreira