常聽到的 7-Zip 是一款廣受歡迎的免費開源壓縮軟體,正版官網為 7-zip.org。然而,駭客註冊了極為相似的網域「7zip.com」,其頁面設計、文字內容甚至下載連結的排版都與正版網站如出一轍。
更危險的是,駭客在 Google 搜尋引擎投放廣告,使得假網站的排名甚至高於正版官網。許多不知情的使用者在搜尋「7-Zip 下載」時,第一個點進去的就是這個仿冒網站。該假網站還具備合法的 SSL 數位憑證,瀏覽器會顯示安全鎖頭圖示,讓用戶更難分辨真假。
據實測,該惡意網站仍處於活躍狀態,裝了後門的 7-zip 也能下載。此外,不少 YouTube 教學影片也在無意間成為散播管道,因為影片製作者誤將 7zip.com 當成正版網址推薦給觀眾。
安裝正版軟體只是幌子
這起攻擊最狡猾之處在於:使用者下載安裝後,電腦上確實會出現正常運作的 7-Zip 軟體,絕大多數人完全不會察覺異常。但安裝程式在背後同步執行了另一套動作,在 C:WindowsSysWOW64hero 目錄下釋放三個惡意檔案:
- Uphero.exe(服務管理員):負責註冊為 Windows 服務,確保木馬在系統重啟後自動運行
- hero.exe(代理負載主程式):以 Go 語言編譯,透過非標準連接埠(1000、1002)建立對外代理連線
- hero.dll(動態連結庫):輔助核心功能運作
這三個檔案會以系統最高權限(SYSTEM)運作,並利用 netsh 指令修改 Windows 防火牆規則,刪除既有規則後新增允許入站和出站的規則,讓駭客的流量暢通無阻。通訊過程使用 XOR 編碼(密鑰 0x70)進行混淆,增加資安人員分析的難度。
被「出租」的中毒電腦
一旦木馬成功部署,受害電腦就會變成所謂的「住宅代理節點」(Residential Proxy Node)。簡單來說,駭客會把你家裡的電腦 IP 位址和網路頻寬打包成商品,出租給第三方使用。
這些第三方可能利用你的網路身份進行各種活動,包括:隱藏真實身份進行網路攻擊、繞過地區限制存取服務、大規模爬蟲或自動化操作等。由於流量看起來來自一般家庭用戶的 IP,傳統的安全偵測機制很難將其辨識為惡意行為。
Malwarebytes 研究暨回應經理 Stefan Dasic 明確表示:
任何曾從 7zip.com 下載並執行安裝程式的系統,都應被視為已遭入侵。
如何自我檢查、如何防範?
Malwarebytes 提供了幾項自我檢查指標,使用者可以確認電腦是否已中招:
- 檢查是否存在 C:WindowsSysWOW64hero 資料夾
- 檢查 Windows 服務中是否有引用該路徑的項目
- 檢查防火牆規則中是否出現名為「Uphero」或「hero」的入站/出站規則
若確認受感染,Malwarebytes 表示其工具可以偵測並清除已知變種,同時還原被竄改的持久化機制。不過他們也補充,
慢霧解析 Google 假廣告「加密釣魚」背後技術
你的電腦正在幫駭客挖比特幣!3,500 個網站遭植入「挖礦腳本」,隱形劫持讓用戶毫無察覺
盜版加密軟體猖獗:小心 App Store 隱藏的危險陷阱
最重要的防範建議:下載任何軟體前,務必確認網址是否為官方網域。7-Zip 的唯一正版官網是 7-zip.org,而非 7zip.com。建議將常用軟體的官方網站加入書籤,避免透過搜尋引擎點擊可能被操控的連結。
📍相關報導📍
慢霧解析 Google 假廣告「加密釣魚」背後技術
你的電腦正在幫駭客挖比特幣!3,500 個網站遭植入「挖礦腳本」,隱形劫持讓用戶毫無察覺
盜版加密軟體猖獗:小心 App Store 隱藏的危險陷阱
