نصب برنامههایی مثل 7Zip ،WinRAR یا PeaZip معمولاً جزو اولین کارها بعد از نصب ویندوز است. در حالی که این کار بسیار ساده به نظر میرسد، اما همین عادت ساده اخیراً برای برخی کاربران به یک دردسر جدی تبدیل شده است.
گزارشها نشان میدهد به مدت حدود 10 روز وبسایتی با آدرس 7zip.com که نسخهای غیررسمی و مشابه سایت اصلی 7Zip محسوب میشود، فایلهای آلوده به بدافزار را منتشر میکرد. در حالی که سایت رسمی این برنامه محبوب فشردهسازی دارای آدرس 7zip.org است، بسیاری از کاربران به اشتباه سراغ دامنه جعلی رفتهاند.
انتشار گسترده 7Zip آلوده از طریق وبسایت جعلی
کاربرانی که در بازه 12 تا 22 ژانویه به این وبسایت جعلی مراجعه میکردند، یک نسخه آلوده برنامه 7Zip را دریافت میکردند اما از آن بیخبر بودند. نکته نگرانکننده اینجاست که سایت جعلی ایجاد شده در نگاه اول کاملاً عادی به نظر میرسید. حتی لینکها در ابتدا به نسخه سالم و رسمی اشاره میکردند، اما پس از حدود ۲۰ تا ۳۰ ثانیه، یک اسکریپت مخفی فعال میشد و لینکها را به فایل مخرب تغییر میداد.
این ترفند باعث میشد ابزارهای ساده بررسی امنیت وبسایتها متوجه آلودگی نشوند و دامنه جعلی مورد بحث برای مدتی از شناسایی توسط برنامههای امنیتی در امان بماند. بدافزار دانلودشده هم ظاهراً رفتار مخربی از خود نشان نمیداد، اما در پشت صحنه یک پراکسی مخفی روی سیستم قربانی نصب میکرد. نتیجه این کار تبدیل کامپیوتر آلوده به بخشی از یک باتنت بود که میتوانست برای پنهانسازی فعالیتهای مجرمانه مورد استفاده قرار بگیرد.
جزئیات فنی این بدافزار توسط Malwarebytes منتشر شده و یک کارشناس امنیتی نیز تحلیل عمیقتری از نحوه عملکرد آن ارائه داده است. جالب اینجاست که حتی برخی سیستمهایی که از ابزارهای مسدودکننده تبلیغات و DNSهای امن استفاده میکردند، نتوانستهاند این اسکریپت را شناسایی و مسدود کنند.
پیشنهاد میشود نهتنها برنامههای مورد نیاز خود را فقط از منابع دست اول یا معتبر دانلود کنید، بلکه همیشه یک آنتیویروس بهروز و مطمئن هم بر روی سیستم خود داشته باشید.
