В ходе комплексного исследования, проведённого специалистами компании Malwarebytes, была выявлена вредоносная модификация архиватора 7-Zip, распространяемая через фишинговый веб-сайт 7zip[.]com. Данный вредоносный код маскируется под легальное программное обеспечение, однако его истинная цель заключается в преобразовании заражённого компьютера в прокси-сервер, что позволяет злоумышленникам использовать вычислительные ресурсы устройства для перенаправления интернет-трафика.
Исследование началось после публикации на форуме Reddit сообщения о заражении, вызванном загрузкой архиватора с ненадёжного источника. В результате анализа установочного файла было обнаружено, что помимо легитимной версии 7-Zip, он содержит дополнительные модули, предназначенные для эксплуатации вычислительных мощностей компьютера в качестве прокси-сервера. Это позволяет злоумышленникам эффективно использовать заражённые устройства в рамках крупномасштабной прокси-инфраструктуры.
Вредоносное ПО оснащено механизмами самозащиты, включающими проверку на наличие признаков использования виртуальных машин и инструментов для анализа кода, что затрудняет его обнаружение и нейтрализацию. Менеджер по исследованиям Malwarebytes, Стефан Дасич, подчёркивает, что любой компьютер, на который было установлено программное обеспечение с поддельного сайта, считается компрометированным и требует немедленного вмешательства для предотвращения дальнейшего использования в качестве прокси-сервера.
Заражение компьютера произошло после перехода пользователя по ссылке, размещённой в комментариях к видео на YouTube. Malwarebytes предупреждает, что ошибки в виде некорректно размещённых ссылок в образовательных материалах могут быть использованы для массового перенаправления пользователей на вредоносные веб-сайты.
Эксперты настоятельно рекомендуют загружать программное обеспечение исключительно с официальных сайтов, сохранять доверенные адреса в закладках браузера и проявлять осторожность при установке приложений из ненадёжных источников. Кроме того, исследователи выявили связь данной кампании с более широкой сетью распространения proxyware, включающей такие популярные сервисы, как Hola, TikTok, WhatsApp и Wire. Это указывает на систематичность и организованность действий злоумышленников, направленных на создание масштабной инфраструктуры для использования заражённых устройств в качестве прокси-серверов.