كشفت تحليلات أمنية حديثة عن حملة خبيثة تستهدف مستخدمي برنامج فك الملفات المضغوطة الشهير 7-Zip، حيث تم إنشاء موقع ويب مزيف يحمل اسم نطاق مشابه للموقع الرسمي (7-Zip.com بدلاً من 7-Zip.org). يستغل هذا الموقع الخبيث شعبية البرنامج لتوزيع نسخة معدلة تتضمن برمجيات ضارة، مما يحول الأجهزة المصابة إلى نقاط “بروكسي” للتمرير غير المصرح به لحركة الإنترنت.
جاء الكشف عن هذه الحملة بعد أن اكتشف أحد المستخدمين، الذي كان يجمع جهاز كمبيوتر جديد، أنه قام بتنزيل برنامج 7-Zip من الموقع الخاطئ. بعد تثبيت البرنامج على جهازين، بدأ Microsoft Defender في رصد تهديد تحت اسم Trojan:Win32/Malgent!MSR، مما أكد اختراق الجهاز.
حملة خبيثة تستغل 7-Zip لتحويل الأجهزة لنقاط بروكسي
توضح هذه الحادثة كيف يمكن للتلاعب البسيط في أسماء النطاقات أن يؤدي إلى استغلال واسع النطاق، خاصة عندما ينتحل المهاجمون هوية موفري البرامج الموثوق بهم. لم تعتمد الحملة على استضافة ملفات ضارة في مواقع غير معروفة، بل قامت بإنشاء نطاق شبيه بالموقع الرسمي، وقدمت برنامج تثبيت موقع بتوقيع رقمي، مما أضفى عليه مظهرًا شرعيًا.
تعمل النسخة المعدلة من برنامج 7-Zip بشكل طبيعي في واجهة المستخدم، مما يقلل من احتمالية إثارة الشكوك. ومع ذلك، في الخلفية، يتم تثبيت ثلاث ملفات خبيثة تعمل كمدير خدمات، وحمولة برمجية أساسية، ومكتبة داعمة. تُكتب هذه الملفات داخل مجلدات النظام ذات الامتيازات المرتفعة، والتي نادراً ما تخضع للفحص اليدوي.
تم اكتشاف قناة تحديث مستقلة عبر نطاق فرعي تابع للموقع المزيف، مما يشير إلى إمكانية تحديث البرمجية الخبيثة بشكل منفصل عن المثبت الأصلي، لضمان استمرار نشاطها على المدى الطويل. وتكمن خطورة هذه الحملة في استغلالها للثقة المتبادلة في منظومات المحتوى، حيث أشارت بعض مقاطع الفيديو التعليمية على YouTube، عن غير قصد، إلى النطاق الخاطئ، مما وجه المستخدمين إلى البنية التحتية الضارة.
آلية الإصابة والتأثيرات الأمنية
يبدأ الإصابة بنشر الملفات الخبيثة داخل مجلد SysWOW64، وهو ما يتطلب امتيازات مرتفعة ويدل على رغبة في الاندماج العميق داخل النظام. بعد ذلك، تُسجل الملفات التنفيذية كخدمات ويندوز تعمل تلقائيًا عند بدء التشغيل بامتيازات SYSTEM، مما يضمن تنفيذها في كل مرة يُعاد فيها تشغيل الجهاز.
تستخدم البرمجية الخبيثة أدوات لتعديل قواعد جدار الحماية، مما يسمح لها بالاتصالات الواردة والصادرة اللازمة لتلقي التحديثات من خوادم التحكم. كما تجمع البرمجية معلومات تفصيلية عن الجهاز، بما في ذلك خصائص العتاد، والذاكرة، والمعالج، والأقراص، وإعدادات الشبكة.
على الرغم من أن السلوك الأولي قد يوحي بوجود باب خلفي، إلا أن التحليل المتعمق أظهر أن الوظيفة الأساسية للبرمجية هي تشغيل خدمة Proxyware. يتم إدراج الجهاز المصاب ضمن شبكة تستخدم لتمرير حركة الإنترنت عبر عنوان IP الخاص بالضحية، مما يصعب عملية التتبع.
يوصي الخبراء المستخدمين بالتأكد دائمًا من تنزيل البرمجيات من نطاقاتها الرسمية وحفظها في المفضلة. كما ينصح بالحذر عند التعامل مع شهادات التوقيع الرقمي غير المتوقعة، ومراقبة إنشاء خدمات ويندوز غير المصرح بها، وتغييرات قواعد جدار الحماية، بالإضافة إلى حظر نطاقات التحكم والسيطرة المعروفة على مستوى الشبكة. أي جهاز قام بتثبيت التطبيق من عنوان 7Zip.com يمكن اعتباره مخترقًا، ومن الضروري استخدام حلول الحماية الموثوقة للكشف عن المكونات الخبيثة وإزالتها.