Oszuści podszywają się pod popularny program do kompresji plików. Zwracajcie uwagę na domenę stron, które odwiedzacie
Wedle relacji Malwarebytes, oszuści zaczęli się podszywać pod 7- Zip – popularny program do archiwizacji oraz kompresji plików. Przestępcy przygotowali witrynę internetową łudząco podobną do oryginalnej i zamieścili ją w sieci na domenie .com. Prawdziwego 7-Zipa pobierzemy wyłącznie ze strony, której adres kończy się na ".org", musimy więc uważać, aby omyłkowo nie ściągnąć na nasz komputer złośliwego oprogramowania .
Jak napisał Stefan Dasic z Malwarebytes Labs, w Internecie zagościł sobowtór popularnego programu 7-Zip, wykorzystywanego do archiwizacji i kompresji plików na dysku komputera. Spreparowany przez oszustów instalator został wzbogacony o złośliwe oprogramowanie w postaci konia trojańskiego, które, po uruchomieniu, ukradkiem przekształca naszą maszynę w węzeł proxy. Sytuacja jest o tyle niebezpieczna, że przestępcy prowadzą dystrybucję swojego tworu za pośrednictwem strony stanowiącej wierną kopię tej oryginalnej. Co więcej, witryna została umieszczona na domenie .com. powszechnie wzbudzającej zaufanie. Szkopuł w tym, że prawdziwy 7-Zip dostępny jest jedynie za pośrednictwem 7-zip.org, czego wiele osób może nie wiedzieć.
Uwaga na sobowtóra 7-zipa
Pobrany z zarządzanego przez oszustów źródła 7-zip może nie wzbudzać żadnych podejrzeń, albowiem program w teorii działa dokładnie tak, jak powinien i oferuje komplet funkcji. Problem leży w fakcie, że w parze z aplikacją otrzymujemy niechcianego gościa pod postacią konia trojańskiego oraz trzech dodatkowych komponentów: uphero.exe (główny menedżer usług i ładowarka aktualizacji zarazem), hero.exe (podstawowy ładunek proxy), a także hero.dll (biblioteka wspierająca).
Wedle Malwarebytes, wstępna analiza wskazywała na to, iż celem złośliwego oprogramowania jest zamieszczenie na komputerze tylnej furtki, niemniej dalsze badania obaliły tę teorię. Okazało się, że wirus jest odpowiedzialny za przekształcenie zainfekowanego peceta w węzeł proxy, tym samym wykorzystując go jako pośrednika w ruchu sieciowym.
Uwaga na fałszywą stronę 7-zipa została zwrócona przez jednego z użytkowników Reddita, który na subreddicie r/pcmasterrace zamieścił post z informacjami na temat potencjalnie niebezpiecznej pomyłki. Internauta zreflektował się, że pobrał aplikację ze złej witryny, na którą to podobno skierował go krótki poradnik znaleziony na YouTubie. Jako że podczas prób instalacji zainfekowanego programu występowały liczne problemy wynikające z rzekomego braku kompatybilności, pechowa osoba postanowiła finalnie zrezygnować z 7-Zipa na rzecz wbudowanego w Windowsa narzędzia. Wirus pozostał jednak na dysku, co po upływie niespełna dwóch tygodni poskutkowało otrzymaniem generycznego komunikatu z Microsoft Defendera o wykryciu "Trojan:Win32/Malgent!MSR".
Z kolei, jak słusznie dostrzegł Michael Kan z PCMag, oficjalny deweloper 7-Zipa, Igor Pavlov, przekazał, aby nie ufać domenie .com powołującej się na konotacje z tytułowym softem. O jej istnieniu wiadomo już od kilku lat, a w 2024 r. Pavlov wydał oświadczenie, w którym potwierdził, iż nie kontroluje on tej witryny i nie wie, jaki jest cel jej właściciela (aczkolwiek teraz stało się to aż nadto jasne). Swoją wypowiedź Igor zakończył następującym stwierdzeniem: "Nie ufaj tej witrynie internetowej i nie korzystaj z niej".
