СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
17 февраля
#ИБ

Мошеннический установщик 7zip превращает компьютеры в proxyware

Обнаружен вредоносный установщик, маскирующийся под легитимный архиватор 7zip и распространяющийся с профессионально выглядящего сайта (7zip.com). На самом деле это не официальная сборка 7zip: после установки заражённые системы становятся частью инфраструктуры proxyware — они превращаются в _residential proxies_, используемые злоумышленниками для анонимизации и других незаконных операций.

Что именно обнаружено

Кратко о сути инцидента:

  • Вредоносный установщик маскируется под 7zip и выглядит как подлинный софт;
  • Дистрибутив, судя по всему, размещён на сайте, имитирующем легитимный ресурс (7zip.com), но не являющемся официальным источником утилиты;
  • После установки ПО изменяет функциональность хоста и включает в него возможности прокси-сервера, превращая компьютер в _residential proxy_;
  • Такая тактика распространения — распространённая схема социальной инженерии: злоумышленники упаковывают вредонос в «профессиональную» оболочку, чтобы побудить пользователя установить его.

Механизм работы и цели злоумышленников

Набор типичных действий, выполняемых подобными установщиками:

  • установка фоновых процессов/служб, обеспечивающих прокси-функции;

    • <li-настройка сетевых правил для перенаправления трафика через заражённый хост;

  • возможная загрузка дополнительного ПО и модулей для управления сетью;
  • регистрация в централизованных системах управления, что позволяет формировать масштабируемые инфраструктуры наподобие botnet.

Почему это опасно

Последствия заражения могут быть серьёзными как для отдельных пользователей, так и для организаций:

  • компрометация конфиденциальности: через ваши устройства может осуществляться анонимный доступ к ресурсам от имени вашего IP;
  • участие в преступных схемах: рассылка спама, DDoS-атаки, обход геоблокировок и др.;
  • рост нагрузки на устройства: повышенная сеть и CPU, ускоренный износ оборудования;
  • возможность дальнейшего расширения злоумышленниками прав на системе и развёртывания дополнительных модулей шифровальщиков или скрытых майнеров.

«Поддельные установщики особенно опасны тем, что пользователь видит привычный бренд и не сомневается в безопасности. Проверка происхождения дистрибутива — первая линия защиты», — эксперт по кибербезопасности.

Признаки возможного заражения

  • неожиданное или постоянное повышение сетевой активности при простое системы;
  • новые неизвестные процессы или службы, запускающиеся автоматически;
  • замедление работы компьютера, перегрев или повышенное использование диска/CPU;
  • подозрительная активность в логах межсетевого экрана или SIEM;
  • появление неизвестных записей в автозагрузке или изменение параметров сети.

Рекомендации по предотвращению и реагированию

Рассмотрите следующие практики для снижения риска и очистки систем:

  • загружайте ПО только с официальных сайтов разработчика и проверяйте цифровые подписи/контрольные суммы;
  • используйте актуальные антивирусные решения и EDR, периодически сканируйте систему;
  • контролируйте исходящую сетевую активность и внедряйте правила для ограничения ненужных подключений;
  • внедряйте политику least privilege — не работайте под учетной записью с правами администратора без необходимости;
  • проводите регулярное обучение пользователей по распознаванию фишинга и рисков загрузки стороннего ПО;
  • при подозрении на компрометацию: изолируйте устройство от сети, выполните полное сканирование, при необходимости восстановите систему из чистой резервной копии и смените учетные данные.

Что делать организациям

Организации должны усилить мониторинг и управлять рисками, включая:

  • анализ точек выхода в интернет и фильтрацию подозрительных доменов/скачиваний;
  • развертывание сетевых детекторов для обнаружения аномальной прокси-активности;
  • регулярные аудиты и тестирования на проникновение для оценки возможных векторов распространения;
  • разработка процедур инцидент-реагирования и восстановления при компрометации.

Вывод

Случай с поддельным установщиком 7zip подчёркивает продолжающуюся угрозу, связанную с распространением вредоносных программ под видом легитимного ПО. Основная защита — это внимательность при загрузке приложений, проверка источников и усиленная сетьвая и конечная защита. Игнорирование этих мер может привести к тому, что ваши устройства станут частью масштабной преступной инфраструктуры без вашего ведома.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз (бренд RST Cloud Russia) – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: