كشفت حملة خبيثة جديدة تستهدف المستخدمين عن استخدام نسخة مزيفة من برنامج 7-Zip لتجعل أجهزة الكمبيوتر المنزلية عُقد وكلاء سكنية (residential proxy nodes) دون علم أصحابها. تبدأ القصة منذور مخادع ينتحل هوية موقع 7-Zip الرسمي.
تعتمد العملية الخبيثة على نطاق شبيه بالموقع الأصلي (7zip[.]com) لخداع المستخدمين وتحميل مثبت يحتوي على برمجيات خبيثة متخفية. هذه البرمجيات قادرة على تحويل الأجهزة المصابة إلى جزء من بنية تحتية لشبكات الوكلاء السكنية.
حملة التضليل باستخدام 7-Zip لتجارة الوكلاء السكنية
تم لفت الانتباه إلى هذا التهديد بعد أن شارك مستخدم على منصة Reddit تجربته المقلقة. أثناء اتباع برنامج تعليمي على YouTube لبناء جهاز كمبيوتر جديد، تم توجيهه لتنزيل 7-Zip من النطاق الاحتيالي.
بعد تثبيت البرنامج على جهاز كمبيوتر محمول وجهاز مكتبي تم تجميعه حديثًا، واجه المستخدم أخطاء توافق مستمرة، لكنه استمر في استخدام النظام. بعد نحو أسبوعين، اكتشف Microsoft Defender الإصابة، مصنفًا إياها كحصان طروادة عام، مما كشف عن الاختراق الخفي.
حدد محللو Malwarebytes أن المثبت المزيف يقدم نسخة كاملة وشغالة من 7-Zip File Manager، بالإضافة إلى ثلاثة مكونات خبيثة مخفية: Uphero.exe، hero.exe، و hero.dll. يتم تثبيت هذه الملفات في مجلد C:WindowsSysWOW64hero، وهو موقع لا يتم فحصه عادةً من قبل المستخدمين العاديين.
يحمل المثبت نفسه توقيع Authenticode صادر لشركة Jozeal Network Technology Co., Limited، ورغم أن الشهادة تم إلغاؤها، إلا أنها وفرت في البداية شعوراً زائفاً بالشرعية، مما ساعد البرامج الضارة على تجنب الشكوك الفورية.
آلية الاستمرار والتخفي
لضمان استمرارها، تسجل البرمجيات الخبيثة كلاً من Uphero.exe و hero.exe كخدمات ويندوز يتم تشغيلها تلقائياً عند كل إقلاع بصلاحيات النظام (SYSTEM-level privileges). تقوم البرمجيات أيضاً بالتلاعب بقواعد جدار الحماية باستخدام أوامر netsh، مما يلغي الحماية الحالية ويُنشئ استثناءات جديدة لضمان اتصال شبكي غير منقطع.
بالإضافة إلى ذلك، تقوم البرمجيات بجمع معلومات شاملة حول الجهاز المصاب، بما في ذلك معرفات الأجهزة، مواصفات الذاكرة، تفاصيل وحدة المعالجة المركزية، وسمات القرص، وتكوينات الشبكة. يتم إرسال هذه البيانات إلى خوادم خارجية، مثل iplogger[.]org.
آلية الإصابة وبنية الوكلاء السكنية
تتمحور الوظيفة الأساسية لهذه البرمجيات الخبيثة حول تحويل الأجهزة المصابة إلى عقد ضمن شبكة وكلاء سكنية. يقوم مكون hero.exe باسترداد تعليمات التكوين من خوادم القيادة والتحكم المتناوبة باستخدام أسماء نطاقات تحمل سمة “smshero”، بما في ذلك soc.hero-sms[.]co، neo.herosms[.]co، flux.smshero[.]co، و nova.smshero[.]ai.
عادة ما تكون هذه النطاقات محمية ببنية Cloudflare التحتية وتتواصل عبر قنوات HTTPS مشفرة، مما يجعل اكتشافها أكثر صعوبة. كشفت تحليلات حركة المرور التي أجراها باحثون أمنيون أن البرمجيات تستخدم بروتوكول XOR مشفر خفيف الوزن بمفتاح 0x70 لإخفاء رسائل التحكم.
كما تنشئ البرمجيات اتصالات وكيل صادرة عبر منافذ غير قياسية مثل 1000 و 1002، مما يسمح لأطراف ثالثة بتمرير حركة مرور الإنترنت عبر عنوان IP الخاص بالضحية. هذه البنية مميزة لخدمات الوكلاء السكنية، حيث يتم تحقيق الدخل من الوصول إلى عناوين IP الخاصة بالمستهلكين الحقيقيين لاستخدامها في أنشطة مثل الاحتيال، كشط الويب، إساءة استخدام الإعلانات، وغسيل الهوية.
يجب على المستخدمين الذين قاموا بتنزيل مثبتات من 7zip[.]com اعتبار أجهزتهم مصابة. يمكن لبرامج الأمان مثل Malwarebytes اكتشاف وإزالة المتغيرات المعروفة لهذا التهديد. ومع ذلك، في السيناريوهات عالية المخاطر، قد يفضل بعض المستخدمين إعادة تثبيت نظام التشغيل بالكامل لضمان إزالة شاملة.
للحماية من هذه الهجمات، يجب على المستخدمين التحقق من مصادر البرامج عن طريق حفظ النطاقات الرسمية للمشاريع، والتعامل مع هويات توقيع التعليمات البرمجية غير المتوقعة بشك، ومراقبة الأنظمة بحثًا عن خدمات ويندوز غير المصرح بها أو تعديلات جدار الحماية. يجب على مسؤولي الشبكات حظر نطاقات القيادة والتحكم المعروفة ونقاط نهاية الوكيل عند محيط الشبكة لمنع الاتصال بالبنية التحتية الخبيثة.