7zip.com сервира зловреден софтуер

7zip.com активно предоставя злонамерен софтуер на нищо неподозиращи потребители, които въвеждат грешно законния URL адрес за изтегляне на 7-Zip. Ако вие или някой във вашата организация наскоро сте посетили 7zip.com, търсейки популярната помощна програма за компресиране на файлове, вашите системи може да са компрометирани и е необходимо незабавно действие.

Какво точно се случва в 7zip.com?

Легитимният софтуер 7-Zip — един от най-широко използваните инструменти за архивиране на файлове с отворен код в света — се разпространява официално чрез 7-zip.org, а не 7zip.com. Изследователи по киберсигурност потвърдиха, че 7zip.com е домейн за typosquatting, злонамерен сайт, предназначен да хваща потребители, които изпускат тирето, когато въвеждат истинския URL.

Когато посетителите стигнат до 7zip.com, им се представя убедителна реплика на легитимния уебсайт 7-Zip. Страницата имитира оформлението на оригинала, марката и бутоните за изтегляне с тревожна точност. Въпреки това, файловете, които се разпространяват от този домейн, не са оригиналната инсталационна програма на 7-Zip — те са троянизирани изпълними файлове, свързани със зловреден софтуер, включително крадци на информация, троянски коне за отдалечен достъп (RAT) и софтуер за събиране на идентификационни данни.

Атаката е особено опасна, защото експлоатира доверието на потребителите в добре позната, уважавана марка софтуер. Повечето потребители не биха имали причина да разглеждат внимателно URL адреса, когато изтеглят софтуер, който са използвали безопасно от години.

Как работи тази злонамерена атака?

Техническият механизъм зад атаката на 7zip.com следва добре документиран typosquatting playbook, но с няколко сложни слоя, които го правят особено ефективен:

1. Регистрация на домейн: Нападателите регистрират 7zip.com — често срещано погрешно изписване на легитимния 7-zip.org — и създават перфектен като пиксел клонинг на оригиналния сайт.
2. SEO отравяне: Злонамереният домейн е оптимизиран да се класира в резултатите от търсенето за заявки като „изтегляне на 7zip“ или „7zip безплатно изтегляне“, увеличавайки органичния трафик от търсачките.
3. Доставка на троянизирана инсталационна програма: Щракването върху който и да е бутон за изтегляне на сайта доставя изпълним файл, който съдържа както истинската 7-Zip инсталационна програма (за избягване на подозрения), така и скрити компоненти на зловреден софтуер.
4. Тихо изпълнение на полезния товар: Веднъж стартиран, злонамереният софтуер установява постоянство в системата, като често изпълнява фонови процеси, които ексфилтрират запазени пароли, бисквитки на браузъра, данни от портфейла за криптовалута и корпоративни идентификационни данни.
5. Комуникация за командване и контрол: Злонамереният софтуер се свързва с контролирани от нападател сървъри, позволявайки отдалечен достъп до заразени машини дълго след първоначалния компромет.

Този многоетапен подход означава, че дори потребители, които забележат нещо необичайно след инсталирането, може да не знаят, че в тяхната система вече е инсталирана задна врата.

Кой е най-застрашен от кампанията за злонамерен софтуер 7zip.com?

Въпреки че всеки отделен потребител е изложен на риск, заплахата е особено остра за бизнеса и организациите. Системните администратори, разработчиците и ИТ специалистите често изтеглят помощни програми като 7-Zip на работни машини, сървъри и споделени среди. Една заразена крайна точка в рамките на корпоративна мрежа може да служи като плацдарм за странично движение, внедряване на рансъмуер или ексфилтрация на данни, засягащи цялата организация.

"Типосквотинг атаките срещу доверени софтуерни домейни представляват един от най-подценяваните вектори на заплаха в сигурността на предприятието. Единичен грешно въведен URL може да компрометира мрежата на цялата организация в рамките на часове."

Малките предприятия и стартиращите фирми са особено уязвими, защото често им липсват специални екипи за сигурност, които да следят за индикатори за компрометиране. Фрийлансери, отдалечени работници и всеки, който управлява множество инструменти на множество машини – точно онзи тип потребители, фокусирани върху производителността, които разчитат на помощни програми като 7-Zip daily – са изправени пред повишена експозиция.

Как можете да защитите бизнеса си от Typosquating злонамерен софтуер?

Защитата срещу атаки като кампанията 7zip.com изисква комбинация от технически контрол и човешко съзнание. Следните мерки значително намаляват излагането на вашата организация:

• Винаги проверявайте URL адресите, преди да изтеглите софтуер. Маркирайте официалните източници. Истинският 7-Zip е изключително на 7-zip.org.
• Използвайте решения за DNS филтриране, които блокират известни злонамерени домейни на ниво мрежа, преди потребителите дори да могат да заредят страницата.
• Активирайте инструменти за откриване и реакция на крайни точки (EDR), които могат да сигнализират за необичайно поведение на процеса, задействано от троянизирани инсталатори.
• Провеждайте редовно обучение за информираност относно сигурността, така че всеки член на екипа да разбира риска от печатни грешки и да знае как да проверява източниците за изтегляне.
• Проверете наскоро инсталиран софтуер във всички крайни точки. Ако някой от вашия екип може да е посетил 7zip.com, третирайте тези машини като потенциално компрометирани и незабавно инициирайте процедури за реакция при инцидент.

Отвъд реактивните мерки, изграждането на култура на мислене на първо място за сигурността във вашата организация е най-трайната защита срещу социално инженерство и атаки за подправяне на домейни.

Какво трябва да направите, ако сте посетили 7zip.com?

Ако подозирате, че сте изтеглили софтуер от 7zip.com, действайте незабавно. Изключете засегнатата машина от вашата мрежа, за да предотвратите странично разпространение. Изпълнете пълно сканиране с помощта на реномиран антивирусен и антизловреден софтуер инструмент. Променете всички пароли, които са били съхранени в браузърите на засегнатата машина — дайте приоритет на банкови, имейл и бизнес акаунти. Прегледайте запазените идентификационни данни на вашия браузър и активирайте многофакторно удостоверяване на всички критични акаунти. Докладвайте инцидента на вашия ИТ екип или екип по сигурността и помислете за ангажиране на професионална услуга за реагиране при инцидент, ако може да е имало достъп до чувствителни бизнес данни.

Не приемайте, че деинсталирането на изтегления файл решава проблема. Много злонамерен софтуер създава механизми за устойчивост, които оцеляват след премахване на софтуер и дори рестартиране на системата.

Често задавани въпроси

Самата 7-Zip опасна програма ли е?

Не. Легитимният софтуер 7-Zip, достъпен от 7-zip.org, е надежден файлов архиватор с отворен код с дълга история на безопасна употреба. Опасността се крие изцяло в фалшивия сайт на адрес 7zip.com, който разпространява фалшиви версии на инсталатора в комплект със зловреден софтуер. Винаги изтегляйте 7-Zip изключително от официалния домейн с тирета: 7-zip.org.

Как да разбера дали зловредният софтуер от 7zip.com все още е активен в моята система?

Често срещаните признаци включват необичайна активност на процесора или мрежата, нови непознати процеси, изпълнявани в диспечера на задачите, забавяне на браузъра, неочаквано блокиране на акаунт или предупреждения от вашия антивирусен софтуер. Много съвременни крадци на информация обаче действат тихо. Ако сте изтеглили от 7zip.com, третирайте машината като компрометирана, независимо от видимите симптоми и извършете пълно съдебно сканиране.

Може ли използването на платформа за управление на бизнеса да помогне за намаляване на този вид риск за сигурността?

Да. Централизираните бизнес операционни платформи, които управляват закупуването на софтуер, контролите за достъп на служителите и стандартизацията на работния процес, намаляват вероятността служителите да набавят инструменти от непроверени сайтове на трети страни. Когато изтеглянията и одобренията на софтуер се управляват от централна система с вградени правила за сигурност, повърхността за атака за кампании за тиражи се свива драстично.

Защитата на вашия бизнес от заплахи като кампанията за злонамерен софтуер 7zip.com изисква правилните инструменти, правилното обучение и правилната оперативна основа. Mewayz предоставя на вашия екип унифицирана, сигурна бизнес операционна система — 207 интегрирани модула, покриващи всичко от управление на екип до автоматизация на работния процес — така че да прекарвате по-малко време в корекция на уязвимости и повече време в изграждане. Над 138 000 потребители се доверяват на Mewayz, за да управлява операциите си ефективно и сигурно.

Започнете своето пътуване с Mewayz днес на app.mewayz.com — плановете започват от само $19/месец.