关键词
网络钓鱼
安全研究人员近期发现,顶级域名 7zip.com 被用于伪装成 7-Zip 官方网站分发恶意软件。需要强调的是,7-Zip 唯一官方域名为 https://7-zip.org/ ,并不存在所谓的“7zip.com”官方站点。
该域名早在 1999 年就已注册,但近期被用于投毒传播。目前尚不清楚攻击者是直接收购域名,还是通过其他方式获得控制权。
高仿页面诱导下载
该钓鱼网站几乎完整复制了 7-Zip 官方页面的界面设计,普通用户在未仔细核对域名的情况下,很容易误判为正规站点,直接下载安装所谓的“最新版”。
一旦运行下载的可执行文件,系统便会被植入恶意组件,包括:
UpHero.exe:服务管理与加载程序
hero.exe:核心代理载荷
hero.dll:辅助库文件
相关文件被释放至:
C:\Windows\SysWOW64\hero\
随后程序会创建以SYSTEM 权限运行的自启动 Windows 服务,实现开机自动加载,确保长期驻留。
修改防火墙并收集系统信息
恶意程序通过netsh命令修改防火墙规则,开放入站与出站连接权限,为后续通信铺路。
接着利用 WMI 与 Windows API 进行环境探测,收集内容包括:
CPU 与内存信息
磁盘与硬件特征
网络配置与环境特征
相关数据被上传至 iplogger.org 服务器。
从攻击链来看,这是一个典型的“下载—驻留—持久化—外联”完整闭环。
真正目的:住宅代理池
这类恶意程序并不直接执行勒索或窃密,而是将受感染主机转化为“住宅代理节点”。
简单来说,攻击者可以通过受害者真实 IP 转发流量,用于:
绕过地域限制
规避风控系统
执行灰黑产活动
构建匿名代理网络
由于行为表面上只是“网络转发”,并非明显破坏性操作,因此常规杀软早期可能不易识别。
不过随着安全厂商披露,主流安全软件已更新病毒库,对相关文件和域名进行拦截。
不止 7-Zip
研究人员发现,攻击者并不只针对 7-Zip。类似手法还被用于伪装:
TikTok
WhatsApp
其他高知名度软件
策略很简单:利用“热门软件 + 高仿官网 + 真实顶级域名”提高转化率,快速扩大感染规模,构建可变现的 IP 资源池。
目前该恶意域名已被社区加入拦截规则,例如 uBlock Origin 的恶意域名列表已覆盖该站点。
安全建议
对于个人用户:
仅从官方域名下载软件
下载前核对 HTTPS 证书与域名拼写
定期检查系统服务与异常外联行为
对于企业环境:
启用 DNS 过滤与威胁情报订阅
审计新增 Windows 服务
监控异常 WMI 调用与 netsh 操作
建立出站流量行为基线
这起事件再次说明一个现实问题:攻击者不一定需要 0day,只要掌握一个“足够像”的域名,就能完成大规模感染。
在供应链安全与软件分发链条中,域名本身已成为攻击面的一部分。
安全圈
网罗圈内热点 专注网络安全
实时资讯一手掌握!
好看你就分享 有用就点个赞
支持「安全圈」就点个三连吧!
热门跟贴