人気のファイルアーカイバ「7-Zip」になりすました偽サイトが、感染したコンピューターを密かに住宅用プロキシノードへと変換する悪意あるソフトウェアを配布していました。
この偽サイトは長期間にわたり発見されないまま稼働し、一見正規のソフトウェアに見えるものへのユーザーの信頼を悪用していました。
詐欺は、ユーザーが公式サイトの7-zip.orgではなく、誤って7zip[.]comにアクセスしてしまうことから始まります。この間違いは、偽ドメインを誤って参照しているオンラインチュートリアルに従った際に起きがちです。
ある被害者は最近、新しいPCの組み立てのために本物だと思って新しいPC用に7-Zipソフトウェアをダウンロードした体験をRedditで共有しました。
悪意あるインストーラーは、証明書でデジタル署名されており、実際に動作する7-Zipのバージョンをインストールするため、見た目が非常にもっともらしく見えます。
しかし同時に、Uphero.exe、hero.exe、hero.dllという3つの隠しコンポーネントをシステムに密かに追加します。これらのファイルは、多くのユーザーがまず確認しないWindowsのシステムフォルダー内に隠されます。
マルウェアの動作
インストールされると、このマルウェアはコンピューターを住宅用プロキシサーバーに変えてしまいます。つまり、あなたの認識や許可なしに、他者があなたのIPアドレス経由でインターネット通信を中継できるようになります。
サイバー犯罪者は、ウェブスクレイピング、不正行為、地理的制限の回避、実際の所在地の隠蔽といった活動のために、これらの住宅用プロキシを高く評価します。
このソフトウェアはWindowsサービスとして自身を登録し、PCの起動のたびに自動的に開始されます。
また、通信を許可するようにファイアウォール設定を変更し、ハードウェア情報やネットワーク構成など、システムに関する情報を収集します。
コマンド&コントロール(C2)サーバーとの通信はすべて暗号化チャネルを通じて行われるため、検知がより困難になります。
このマルウェアは検知回避が巧妙です。セキュリティ研究者が使用する仮想マシン上で動作しているかどうかを識別でき、アンチデバッグ機能も備えています。
ソフトウェアは、設定や通信を保護するためにAES、RC4、独自のXORエンコードなど複数の暗号化方式を使用します。
調査担当者は、このマルウェアが別のチャネルを通じて独立に自己更新することを突き止めました。これにより攻撃者は、被害者に新たなダウンロードをさせることなく挙動を変更できます。
すべての亜種が同一のインストール手法、永続化手法、ネットワーク挙動を共有しており、同じ脅威アクターによる組織的な活動であることを示唆しています。
この偽7-Zipインストーラーは、より大規模な作戦と関連しているようです。セキュリティ研究者は、VPNソフトウェアやメッセージングアプリなど、他のアプリケーションに偽装した類似のマルウェアも発見しました。
ネットワーク分析により、「smshero」パターンに従う名前を持つ複数の制御サーバーとの関連が明らかになりました。ネットワーク分析により、「smshero」パターンに従う名前を持つ複数の制御サーバーとの関連が明らかになりました。いずれもCloudflareのインフラによって保護されています。
このキャンペーンは特に、作成者が意図せず視聴者を誤ったドメインへ誘導してしまうYouTubeのチュートリアルや教育コンテンツを悪用しています。これにより、信頼される学習リソースが意図せぬマルウェア配布チャネルへと変わってしまいます。
自分を守るには
7zip[.]comから7-Zipをダウンロードしてしまった場合、あなたのコンピューターは侵害されている可能性が高いです。Malwarebytesのようなセキュリティソフトウェアでマルウェアを検出・削除できますが、完全な安心のためにOSを再インストールしたいと考えるユーザーもいるでしょう。
安全を保つために、ソフトウェアは必ず公式サイトからダウンロードしていることを確認してください。攻撃者は見た目が似たアドレスを登録することが多いため、ドメイン名を慎重に再確認しましょう。
予期しないコード署名の主体を疑い、不審なWindowsサービスがないか監視し、説明のつかないファイアウォールルールの変更に注意してください。
このキャンペーンを暴いた独立系セキュリティ研究者のLuke Acha、s1dhy、Andrew Danisには称賛が値します。
彼らの詳細な分析により、このマルウェアの真の目的が従来型のバックドアではなく、住宅用プロキシウェアであることが明らかになりました。
さらにRaichuLabとWizSafe Securityによる追加検証も行われ、協調的なセキュリティ研究が長期間潜伏する脅威の露見に役立つことが示されました。
この事例は、攻撃者が技術的な脆弱性ではなく人間の信頼を悪用することを示しています。機能するインストーラーで正規ソフトを装うことで従来のセキュリティ対策をすり抜け、無断プロキシサービスを通じて継続的な収益源を作り出します。
侵害の痕跡(IOCs)
ネットワーク指標
| ドメイン | 注記 / 文脈 |
|---|---|
soc.hero-sms[.]co |
コマンド&コントロール(C2)インフラの可能性 |
neo.herosms[.]co |
「hero」SMS命名パターンに関連 |
flux.smshero[.]co |
「hero」SMS命名パターンに関連 |
nova.smshero[.]ai |
「hero」SMS命名パターンに関連 |
apex.herosms[.]ai |
「hero」SMS命名パターンに関連 |
spark.herosms[.]io |
「hero」SMS命名パターンに関連 |
zest.hero-sms[.]ai |
「hero」SMS命名パターンに関連 |
prime.herosms[.]vip |
「hero」SMS命名パターンに関連 |
vivid.smshero[.]vip |
「hero」SMS命名パターンに関連 |
mint.smshero[.]com |
「hero」SMS命名パターンに関連 |
pulse.herosms[.]cc |
「hero」SMS命名パターンに関連 |
glide.smshero[.]cc |
「hero」SMS命名パターンに関連 |
svc.ha-teams.office[.]com |
正規のMicrosoft Office通信を装っている可能性 |
iplogger[.]org |
偵察に使われることの多い一般的なIP追跡サービス |
| ファイル名 | ファイルパス | SHA-256ハッシュ |
|---|---|---|
| Uphero.exe | C:\Windows\SysWOW64\hero\Uphero.exe |
e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 |
| hero.exe | C:\Windows\SysWOW64\hero\hero.exe |
b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 |
| hero.dll | C:\Windows\SysWOW64\hero\hero.dll |
3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 |
翻訳元: https://gbhackers.com/7-zip-downloads/
