Добавить в корзинуПозвонить
Найти в Дзене
CISOCLUB
11,6 тыс подписчиков

Мошеннический установщик 7zip превращает компьютеры в proxyware

3
3 мин
Обнаружен вредоносный установщик, маскирующийся под легитимный архиватор 7zip и распространяющийся с профессионально выглядящего сайта (7zip.com). На самом деле это не официальная сборка 7zip: после установки заражённые системы становятся частью инфраструктуры proxyware — они превращаются в _residential proxies_, используемые злоумышленниками для анонимизации и других незаконных операций. Кратко о сути инцидента: Набор типичных действий, выполняемых подобными установщиками: Последствия заражения могут быть серьёзными как для отдельных пользователей, так и для организаций: «Поддельные установщики особенно опасны тем, что пользователь видит привычный бренд и не сомневается в безопасности. Проверка происхождения дистрибутива — первая линия защиты», — эксперт по кибербезопасности. Рассмотрите следующие практики для снижения риска и очистки систем: Организации должны усилить мониторинг и управлять рисками, включая: Случай с поддельным установщиком 7zip подчёркивает продолжающуюся угрозу, св
Оглавление

Обнаружен вредоносный установщик, маскирующийся под легитимный архиватор 7zip и распространяющийся с профессионально выглядящего сайта (7zip.com). На самом деле это не официальная сборка 7zip: после установки заражённые системы становятся частью инфраструктуры proxyware — они превращаются в _residential proxies_, используемые злоумышленниками для анонимизации и других незаконных операций.

Что именно обнаружено

Кратко о сути инцидента:

  • Вредоносный установщик маскируется под 7zip и выглядит как подлинный софт;
  • Дистрибутив, судя по всему, размещён на сайте, имитирующем легитимный ресурс (7zip.com), но не являющемся официальным источником утилиты;
  • После установки ПО изменяет функциональность хоста и включает в него возможности прокси-сервера, превращая компьютер в _residential proxy_;
  • Такая тактика распространения — распространённая схема социальной инженерии: злоумышленники упаковывают вредонос в «профессиональную» оболочку, чтобы побудить пользователя установить его.

Механизм работы и цели злоумышленников

Набор типичных действий, выполняемых подобными установщиками:

  • установка фоновых процессов/служб, обеспечивающих прокси-функции;
  • возможная загрузка дополнительного ПО и модулей для управления сетью;
  • регистрация в централизованных системах управления, что позволяет формировать масштабируемые инфраструктуры наподобие botnet.

Почему это опасно

Последствия заражения могут быть серьёзными как для отдельных пользователей, так и для организаций:

  • компрометация конфиденциальности: через ваши устройства может осуществляться анонимный доступ к ресурсам от имени вашего IP;
  • участие в преступных схемах: рассылка спама, DDoS-атаки, обход геоблокировок и др.;
  • рост нагрузки на устройства: повышенная сеть и CPU, ускоренный износ оборудования;
  • возможность дальнейшего расширения злоумышленниками прав на системе и развёртывания дополнительных модулей шифровальщиков или скрытых майнеров.
«Поддельные установщики особенно опасны тем, что пользователь видит привычный бренд и не сомневается в безопасности. Проверка происхождения дистрибутива — первая линия защиты», — эксперт по кибербезопасности.

Признаки возможного заражения

  • неожиданное или постоянное повышение сетевой активности при простое системы;
  • новые неизвестные процессы или службы, запускающиеся автоматически;
  • замедление работы компьютера, перегрев или повышенное использование диска/CPU;
  • подозрительная активность в логах межсетевого экрана или SIEM;
  • появление неизвестных записей в автозагрузке или изменение параметров сети.

Рекомендации по предотвращению и реагированию

Рассмотрите следующие практики для снижения риска и очистки систем:

  • загружайте ПО только с официальных сайтов разработчика и проверяйте цифровые подписи/контрольные суммы;
  • используйте актуальные антивирусные решения и EDR, периодически сканируйте систему;
  • контролируйте исходящую сетевую активность и внедряйте правила для ограничения ненужных подключений;
  • внедряйте политику least privilege — не работайте под учетной записью с правами администратора без необходимости;
  • проводите регулярное обучение пользователей по распознаванию фишинга и рисков загрузки стороннего ПО;
  • при подозрении на компрометацию: изолируйте устройство от сети, выполните полное сканирование, при необходимости восстановите систему из чистой резервной копии и смените учетные данные.

Что делать организациям

Организации должны усилить мониторинг и управлять рисками, включая:

  • анализ точек выхода в интернет и фильтрацию подозрительных доменов/скачиваний;
  • развертывание сетевых детекторов для обнаружения аномальной прокси-активности;
  • регулярные аудиты и тестирования на проникновение для оценки возможных векторов распространения;
  • разработка процедур инцидент-реагирования и восстановления при компрометации.

Вывод

Случай с поддельным установщиком 7zip подчёркивает продолжающуюся угрозу, связанную с распространением вредоносных программ под видом легитимного ПО. Основная защита — это внимательность при загрузке приложений, проверка источников и усиленная сетьвая и конечная защита. Игнорирование этих мер может привести к тому, что ваши устройства станут частью масштабной преступной инфраструктуры без вашего ведома.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Мошеннический установщик 7zip превращает компьютеры в proxyware".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: MAX | VK | Rutube | Telegram | Дзен | YouTube.