はじめに: 偽7-Zipサイトがプロキシマルウェアを配布
人気のアーカイブツール「7-Zip」の偽ウェブサイトが、ユーザーのコンピューターを住宅用プロキシノードに変えるトロイの木馬化されたインストーラーを配布していることが明らかになりました。住宅用プロキシネットワークは、一般家庭のユーザーデバイスを介してトラフィックをルーティングし、ブロックを回避したり、認証情報の窃取、フィッシング、マルウェア配布などの悪意ある活動を行う目的で使用されます。
詐欺の手口と悪質なインストーラー
この新たなキャンペーンは、YouTubeのPC構築チュートリアルに従って偽の7-Zipサイトから悪質なインストーラーをダウンロードしたというユーザーからの報告により、広く知られるようになりました。BleepingComputerは、この悪質なウェブサイト「7zip[.]com」が現在も稼働中であることを確認しています。攻撃者は「7zip[.]com」というドメインを登録し、ユーザーが正規サイトであるかのように誤認させやすい状況を作り出しています。さらに、正規の7-Zipウェブサイト(7-zip.org)のテキストをコピーし、その構造を模倣しています。
マルウェアの動作と機能
インストーラーファイルはサイバーセキュリティ企業Malwarebytesの研究者によって分析され、現在は取り消されている「Jozeal Network Technology Co., Limited」に発行されたデジタル証明書で署名されていることが判明しました。この悪質なコピーには、通常の7-Zipプログラムも含まれており、ツールの基本的な機能は提供されます。しかし、インストーラーは以下の3つの悪質なファイルをドロップします:
- Uphero.exe – サービスマネージャーおよびアップデートローダー
- hero.exe – メインのプロキシペイロード
- hero.dll – サポートライブラリ
これらのファイルは「C:\Windows\SysWOW64\hero\」ディレクトリに配置され、2つの悪質な実行ファイルに対してSYSTEM権限で実行される自動起動Windowsサービスが作成されます。加えて、バイナリがインバウンドおよびアウトバウンド接続を確立できるように、「netsh」を使用してファイアウォールルールが変更されます。最終的に、ホストシステムはMicrosoftのWindows Management Instrumentation (WMI)とWindows APIを使用してハードウェア、メモリ、CPU、ディスク、ネットワーク特性をプロファイリングし、収集されたデータは「iplogger[.]org」に送信されます。
Malwarebytesは、「初期の兆候はバックドアのような機能を暗示していましたが、さらなる分析により、このマルウェアの主な機能がプロキシウェアであることが明らかになりました」と説明しています。「感染したホストは住宅用プロキシノードとして登録され、第三者が被害者のIPアドレスを介してトラフィックをルーティングできるようになります。」分析によると、hero.exeは回転する「smshero」をテーマにしたC2ドメインから設定を取得し、1000番や1002番などの非標準ポートでアウトバウンドプロキシ接続を開きます。制御メッセージは軽量のXORキーを使用して難読化されています。
キャンペーンの広がりと検出回避技術
Malwarebytesは、このキャンペーンが7-Zipの誘引だけでなく、HolaVPN、TikTok、WhatsApp、Wire VPNのトロイの木馬化されたインストーラーも利用していることを発見しました。このマルウェアは、hero/smsheroドメインを中心とした回転式のC2インフラを使用しており、トラフィックはCloudflareインフラを介してTLS暗号化されたHTTPSで送信されます。また、Googleのリゾルバーを介したDNS-over-HTTPSにも依存しており、標準的なDNSトラフィックを監視する防御側の視認性を低下させます。
さらに、このマルウェアは、分析されていることを特定するために、VMware、VirtualBox、QEMU、Parallelsなどの仮想化プラットフォームやデバッガーをチェックします。
セキュリティ研究者による発見と分析
Malwarebytesの調査は、マルウェアを分析しその真の目的を明らかにした独立したセキュリティ研究者の研究に気づいたことから始まりました。研究者のLuke Acha氏がUphero/heroマルウェアの目的を発見し、s1dhy氏がXORベースの通信プロトコルをリバースエンジニアリングしてデコードし、プロキシの挙動を確認しました。デジタルフォレンジックおよびインシデントレスポンス(DFIR)エンジニアのAndrew Danis氏は、偽の7-Zipインストーラーと複数のソフトウェアブランドを詐称するより広範なキャンペーンとの関連付けを行いました。
ユーザーへの推奨事項
Malwarebytesは、分析中に観測された侵害指標(ドメイン、ファイルパス、IPアドレス)とホスト関連データの一覧を公開しています。ユーザーは、YouTubeの動画やプロモートされた検索結果からのURLを避け、頻繁に使用するソフトウェアのダウンロードポータルドメインをブックマークすることを推奨しています。