الصفحات
بحث
تحذير أمني: موقع 7-Zip مزيف يحول جهازك إلى خادم وكيل
الأمن السيبراني #أمن_سيبراني #7Zip

تحذير أمني: موقع 7-Zip مزيف يحول جهازك إلى خادم وكيل

منذ 3 ساعات 3 مشاهدة 0 تعليق 2 دقائق قراءة
Latest news and stories from BleepingComputer.com
Latest news and stories from BleepingComputer.com مصدر إخباري
3 مشاهدة
0 إعجاب
0 تعليق
موثوق 95%

كشفت أبحاث أمنية جديدة عن موقع ويب مزيف ينتحل صفة أداة الأرشفة الشهيرة 7-Zip، يقوم بتوزيع نسخة مفخخة ببرمجيات خبيثة تحول حواسيب الضحايا إلى عقد وكيل سكنية (Residential Proxy Node) دون علمهم.

تفاصيل الخديعة الإلكترونية

بدأت الحملة بالانتشار بشكل واسع بعد أن أبلغ أحد المستخدمين عن تحميله لمثبت ضار من موقع ينتحل صفة المشروع الرسمي لبرنامج 7-Zip، وذلك أثناء اتباعه لتعليمات فيديو تعليمي على يوتيوب حول بناء أجهزة الكمبيوتر.

قام المهاجمون بتسجيل النطاق 7zip[.]com (الذي لا يزال نشطاً وقت كتابة هذا التقرير)، وهو نطاق مخادع يسهل أن يقع المستخدمون في فخه ظناً منهم أنه الموقع الرسمي للأداة، علماً أن الموقع الحقيقي هو 7-zip.org. ولم يكتفِ المهاجمون بذلك، بل قاموا بنسخ النصوص وهيكلية الموقع الأصلي بالكامل لإضفاء الشرعية على صفحتهم المزيفة.

تحليل البرمجية الخبيثة

وفقاً لتحليل أجراه باحثون في شركة Malwarebytes للأمن السيبراني، فإن ملف التثبيت موقع رقمياً بشهادة تم إلغاؤها حالياً، كانت صادرة لشركة تُدعى "Jozeal Network Technology Co., Limited".

النسخة المزيفة تتضمن برنامج 7-Zip الحقيقي ليعمل بشكل طبيعي ولا يثير الشكوك، لكنها تقوم في الخلفية بتثبيت ثلاثة ملفات خبيثة:

  • Uphero.exe: مدير الخدمة ومحمل التحديثات.
  • hero.exe: حمولة الوكيل الرئيسية (Proxy Payload).
  • hero.dll: مكتبة الدعم.

آلية عمل الاختراق

تتمركز هذه الملفات في دليل النظام، وتقوم بإنشاء خدمة ويندوز تعمل بصلاحيات النظام (SYSTEM). كما يتم تعديل قواعد جدار الحماية للسماح بالاتصالات الواردة والصادرة.

يقوم البرنامج الخبيث بجمع معلومات شاملة عن الجهاز تشمل المعالج، الذاكرة، والقرص الصلب، ويرسلها إلى خادم بعيد. وأوضح تقرير Malwarebytes أن الهدف الرئيسي للبرمجية هو "Proxyware"، حيث يتم تسجيل الجهاز المصاب كعقدة وكيل سكنية، مما يسمح لأطراف ثالثة بتوجيه حركة المرور عبر عنوان IP الخاص بالضحية للقيام بأنشطة مشبوهة.

حملة أوسع تستهدف تطبيقات أخرى

أشار التحليل إلى أن الحملة أكبر من مجرد استهداف 7-Zip، حيث تم رصد مثبتات مفخخة مماثلة لتطبيقات شهيرة أخرى مثل:

  • HolaVPN
  • TikTok
  • WhatsApp
  • Wire VPN

تستخدم البرمجية بنية تحتية معقدة للقيادة والسيطرة (C2) تعتمد على نطاقات متغيرة، وتمرر حركة المرور عبر بنية Cloudflare التحتية مشفرة ببروتوكول HTTPS. كما تعتمد على تقنية DNS-over-HTTPS عبر محللات جوجل لتقليل إمكانية كشفها.

ينصح الخبراء المستخدمين بتجنب اتباع روابط التحميل الموجودة في وصف فيديوهات يوتيوب أو نتائج البحث المروجة، والاعتماد دائماً على المواقع الرسمية المعروفة للبرامج.

الأمن السيبراني

أحدث أخبار وتحليلات الأمن السيبراني
عرض الكل
##أمن_سيبراني ##7Zip ##حماية_البيانات ##فيروسات

الأسئلة الشائعة

الموقع المزيف هو 7zip[.]com، بينما الموقع الرسمي والآمن هو 7-zip.org.

تحول جهاز المستخدم إلى عقدة وكيل (Residential Proxy)، مما يسمح للمهاجمين باستخدام عنوان IP الخاص بالضحية لتوجيه حركة المرور والقيام بأنشطة مشبوهة.

نعم، رصدت Malwarebytes حملات مماثلة تستهدف تطبيقات مثل TikTok وWhatsApp وHolaVPN وWire VPN.

التعليقات 0

سجل دخولك لإضافة تعليق

لا توجد تعليقات بعد. كن أول من يعلق!