資安業者近日揭露一起利用假冒知名壓縮軟體 7-Zip 的惡意下載攻擊行動, 一旦使用者誤從不法網站下載安裝程式,就可能在不知情下將自家電腦變成「住宅代理節點」(residential proxy node),被駭客租用或濫用進行各種網路犯罪活動。這類攻擊手法並非只單一惡意程式,而是結合社交工程、品牌模仿與高隱蔽性惡意程式行為,對一般家用裝置構成重大資安風險。
據資安公司 Malwarebytes 在部落格中指出,攻擊者架設了一個幾可亂真的假冒 7-Zip 官方下載網站,域名為 7zip[.]com,表面看起來與官方網站十分相似,但實際上並非合法來源。由於許多使用者在透過搜尋引擎或電腦教學影片中看到該網址時,往往未多加留意域名差異,就直接點擊下載,導致惡意安裝程式悄悄進入系統。
這款偽裝的安裝程式本身確實會安裝正牌的 7-Zip 壓縮軟體,這也是攻擊者的巧妙之處 —— 讓使用者誤以為沒問題。惡意程式會使用一個曾被簽署但已被撤銷的憑證來簽名(Authenticode),增加它的可信度,使得大部分使用者在安裝完成後仍不覺異常。
一旦安裝,除了合法的 7-Zip 壓縮工具以外,惡意安裝程式還會在背景中部署至少三個隱藏元件:
- Uphero.exe — 作為服務管理與更新載入器
- hero.exe — 代理程式主體
- hero.dll — 支援程式庫
這些元件會安裝在 Windows 系統的 C:\Windows\SysWOW64\hero\ 目錄下,並以系統級別權限註冊為自動啟動的 Windows 服務,確保開機後持續執行。接著,惡意程式會修改防火牆規則,使其網路服務流量不受阻擋。
駭客主要目的是將受害者的設備加入一個大型住宅代理網路。這種代理網路利用家用裝置的真實 IP 位址作為網路中繼、供第三方租用,以隱藏其網路行為的來源。透過這些節點,不法分子可以進行廣泛的惡意活動,包括匿名化攻擊、網路釣魚、爬蟲、廣告詐欺,甚至更嚴重的資料入侵。
這次事件暴露的另一項危機,是社群資源與內容管道也可能成為惡意程式的散布管道。Malwarebytes 報告中就提到,有受害者是在 YouTube 上的一支 PC 組裝教學影片下方的下載連結中誤點了這個惡意網址,才導致感染事件發生。這種情況顯示,即使是無惡意的創作者引用錯誤網址,也可能無意中成為攻擊行動的助力。
資安研究也指出,這次的惡意代理軟體並非孤立事件,而是與一整套共享工具鏈有關。相關的惡意二進位檔案包括 upHola.exe、upTiktok、upWhatsapp 等,顯示攻擊者透過類似的技術、策略與基礎架構,可能在多個仿冒品牌下載站點中散佈代理程式,形成一個龐大的惡意代理服務生態系統。
面對這類仿冒下載攻擊,Malwarebytes 呼籲使用者必須從合法且官方的網站下載軟體,並確認網址細節,例如官方 7-Zip 的正確域名是 7-zip.org,而不是 .com 或其他變化。其次,定期更新防毒軟體、避免透過搜尋結果直接下載應用程式,以及慎防不明來源的連結,都是降低感染風險的基本做法。
對於已懷疑被感染的裝置,資安專家建議立即離線該設備、檢查是否存在上述惡意執行檔、移除不明的 Windows 服務,並以可信的安全工具進行完整掃描與清理。部分情況下,若惡意軟體已深度整合系統,重灌作業系統也可能是必要的防護步驟。
(首圖來源:pixabay)
科技新報粉絲團
加入好友
訂閱免費電子報
