Sahte 7-Zip Sitesi Bilgisayarları Proxy Düğümüne Dönüştürüyor

Popüler dosya sıkıştırma aracı 7-Zip'in sahte bir web sitesi olan 7zip.com, kullanıcıları tuzağa düşürerek bilgisayarlarını sessizce birer "konut proxy düğümüne" dönüştüren kötü amaçlı yazılım dağıtıyor. Meşru 7-Zip projesi yalnızca 7-zip.org adresinde barındırılırken, bu taklit site uzun süredir fark edilmeden faaliyet gösteriyor. Bir bilgisayar kullanıcısının yanlışlıkla bu sahte siteden indirme yapması ve ardından Microsoft Defender'ın sistemde bir Truva atı tespit etmesiyle durum ortaya çıktı. Bu olay, küçük bir alan adı hatasının bile saldırganların güvenilir yazılım dağıtıcısı gibi davranarak sistemlerin uzun süreli ve izinsiz kullanımına yol açabileceğini gösteriyor.

7zip.com üzerinden dağıtılan Truva atı içeren yükleyici, kullanıcıya işlevsel bir 7-Zip Dosya Yöneticisi sunarken, arka planda üç ek kötü amaçlı bileşeni sessizce kuruyor: bir hizmet yöneticisi ve güncelleme yükleyici olan Uphero.exe, birincil proxy yükü olan hero.exe ve destekleyici bir kütüphane olan hero.dll. Bu bileşenler, manuel olarak incelenme olasılığı düşük olan C:\Windows\SysWOW64\hero\ dizinine yerleştiriliyor. Yükleyici, artık iptal edilmiş bir Authenticode sertifikasıyla imzalanmış olsa da, bu durum yüzeysel bir meşruiyet sağlıyor. Ayrıca, kötü amaçlı yazılımın kendisinin yükleyiciden bağımsız olarak güncellenebileceği ayrı bir güncelleme kanalı da tespit edildi.

Kampanyanın en endişe verici yönlerinden biri, üçüncü taraf güvenine dayanmasıdır. YouTube eğitimleri gibi içeriklerde, içerik oluşturucuların yanlışlıkla 7zip.com adresini referans göstermesi, kullanıcıları farkında olmadan kötü amaçlı altyapıya yönlendiren bir dağıtım vektörü haline geliyor. Bu durum, saldırganların zararsız içerik ekosistemlerindeki küçük hataları bile büyük ölçekte kurbanları kötü niyetli altyapıya çekmek için nasıl kullanabileceğini açıkça ortaya koyuyor. Kullanıcıların yazılım indirmelerini her zaman resmi ve doğrulanmış kaynaklardan yapmaları büyük önem taşıyor.