«Своими руками поставить ботнет»: десять дней сайт-двойник 7-Zip маскировал заразу под официальные ссылки

vgtimes.ru:

Кто из нас при чистой установке Windows не тянет привычный набор софта? Архиватор — святое: 7-Zip, WinRAR, PeaZip, что бы скачать необходимо найти официальный сайт приложения, но к удивлению многих официальный сайт проекта 7-Zip — 7-zip.org, а домен 7-zip.com, который поисковики часто подсовывают первым, с 12 по 22 января превратился в мину замедленного действия.

Для многих пользователей установка архиватора вроде 7-Zip — стандартная процедура сразу после установки операционной системы. Сайт выглядел вполне правдоподобно и сначала действительно показывал ссылки на официальные файлы с ресурса 7-zip.org, однако спустя примерно 20–30 секунд после открытия страницы специальный скрипт незаметно менял адрес загрузки — и пользователь получал уже заражённый исполняемый файл.

Такой механизм оказался достаточно изощрённым, чтобы обходить базовые системы автоматической проверки сайтов. Сканеры фиксировали «чистые» ссылки и не помечали ресурс как опасный, поскольку подмена происходила с задержкой и только при взаимодействии реального пользователя. Установленный вместе с архиватором вирус не проявлял себя явно, но запускал на компьютере прокси-сервер и в результате заражённая система становилась частью удалённо управляемой сети — ботнета. Через такие узлы злоумышленники могут пропускать собственный трафик, скрывая своё реальное местоположение и инфраструктуру.

Технический анализ вредоносной активности публиковала компания Malwarebytes, а первые сообщения о проблеме появились на форуме SourceForge. Более широкое распространение информация получила после обсуждений на Reddit. Примечательно, что даже системы с активной сетевой фильтрацией не всегда блокировали вредоносный скрипт, что вызывает дополнительные вопросы к методам