はじめに:人気のファイルアーカイバを装う巧妙な手口
人気のファイルアーカイバ「7-Zip」を装った偽のウェブサイトが、ユーザーのコンピューターを無断で住宅用プロキシノードに変換する悪質なマルウェアを配布していることが明らかになりました。この偽サイトは長期間にわたり検出されずに稼働しており、正規のソフトウェアに対するユーザーの信頼を悪用しています。
この詐欺は、ユーザーが誤って公式ウェブサイト「7-zip.org」ではなく「7zip[.]com」にアクセスすることから始まります。オンラインチュートリアルで間違ったドメインが参照されることが多いため、この間違いは頻繁に発生しています。ある被害者は最近、新しいPCの構築のために正規の7-Zipソフトウェアだと思い込みダウンロードしたとRedditで報告しました。
脅威の詳細:マルウェアのメカニズムと機能
この悪質なインストーラーは、デジタル署名されており、実際に動作する7-Zipのバージョンをインストールするため、非常に説得力があります。しかし、その裏で密かに3つの隠されたコンポーネントをシステムに追加します。
- Uphero.exe
- hero.exe
- hero.dll
これらのファイルは、ほとんどのユーザーが見ることのないWindowsシステムフォルダ「C:\Windows\SysWOW64\hero\」に隠されます。
一度インストールされると、マルウェアはコンピューターを住宅用プロキシサーバーに変貌させます。これにより、他の人々がユーザーの知識や許可なく、そのIPアドレスを介してインターネットトラフィックをルーティングできるようになります。サイバー犯罪者は、ウェブスクレイピング、詐欺、地理的制限の回避、自身の真の所在地を隠す目的で、これらの住宅用プロキシを高く評価しています。
このソフトウェアは、コンピューターの起動時に自動的に開始するWindowsサービスとして自身を登録します。また、トラフィックを許可するためにファイアウォール設定を変更し、ハードウェアの詳細やネットワーク構成を含むシステム情報を収集します。コマンド&コントロールサーバーとのすべての通信は暗号化されたチャネルを通じて行われるため、検出はさらに困難になります。
検出回避と広がり:洗練された手口と連携する攻撃キャンペーン
このマルウェアは、検出を回避するために高度な機能を備えています。セキュリティ研究者が使用する仮想マシン内で実行されているかどうかを識別したり、アンチデバッグ機能を備えたりしています。構成と通信を保護するために、AES、RC4、カスタムXORエンコーディングを含む複数の暗号化方法を使用しています。
調査員は、マルウェアが独立したチャネルを通じて自身をアップデートするため、攻撃者は被害者が何か新しいものをダウンロードすることなく、その動作を変更できることを発見しました。すべての亜種は同一のインストール方法、永続化技術、およびネットワーク動作を共有しており、これは同じ攻撃者による連携した取り組みを示唆しています。
この偽の7-Zipインストーラーは、より広範なオペレーションと関連しているようです。セキュリティ研究者は、VPNソフトウェアやメッセージングアプリなど、他のアプリケーションを装った同様のマルウェアを発見しました。ネットワーク分析により、「smshero」パターンに続く名前を持つ複数のコントロールサーバーへの接続が明らかになりました。これらはすべてCloudflareのインフラによって保護されています。
このキャンペーンは特に、クリエイターが意図せず間違ったドメインに視聴者を誘導するYouTubeチュートリアルや教育コンテンツを悪用し、信頼された学習リソースを意図しないマルウェア配布チャネルに変えています。
予防策と対策:被害を防ぐための注意点
「7zip[.]com」から7-Zipをダウンロードしたことがある場合、あなたのコンピューターは侵害されている可能性が高いです。Malwarebytesのようなセキュリティソフトウェアはマルウェアを検出して削除できますが、一部のユーザーは完全な安心のためにオペレーティングシステムを再インストールすることを選択するかもしれません。
安全を保つためには、常に公式ウェブサイトからソフトウェアをダウンロードしていることを確認してください。攻撃者は似たようなアドレスを登録することが多いため、ドメイン名を注意深く再確認することが重要です。予期しないコード署名IDには注意し、不正なWindowsサービスの有無を監視し、説明のつかないファイアウォールルールの変更にも注意してください。
調査と感謝:セキュリティ研究者の貢献
このキャンペーンを明らかにした独立系のセキュリティ研究者であるLuke Acha、s1dhy、およびAndrew Danis氏の功績は特筆すべきです。彼らの詳細な分析により、このマルウェアが従来のバックドアではなく、住宅用プロキシウェアとしての真の目的を持っていることが判明しました。RaichuLabとWizSafe Securityからの追加検証もあり、協力的なセキュリティ研究がいかに長期間続く脅威を暴くのに役立つかを示しています。
この事件は、攻撃者が技術的な脆弱性ではなく、人間の信頼をいかに悪用するかを示しています。機能するインストーラーを備えた正規のソフトウェアを装うことで、彼らは従来のセキュリティ対策を回避し、不正なプロキシサービスを通じて持続的な収益源を生み出しています。
侵害指標 (IOCs)
ネットワーク指標
- soc.hero-sms[.]co (潜在的なC2インフラ)
- neo.herosms[.]co
- flux.smshero[.]co
- nova.smshero[.]ai
- apex.herosms[.]ai
- spark.herosms[.]io
- zest.hero-sms[.]ai
- prime.herosms[.]vip
- vivid.smshero[.]vip
- mint.smshero[.]com
- pulse.herosms[.]cc
- glide.smshero[.]cc
- svc.ha-teams.office[.]com (正規のMicrosoft Officeトラフィックを装っている可能性)
- iplogger[.]org (偵察によく使用されるIP追跡サービス)
ファイル指標
- Uphero.exe
- ファイルパス: C:\Windows\SysWOW64\hero\Uphero.exe
- SHA-256ハッシュ: e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027
- hero.exe
- ファイルパス: C:\Windows\SysWOW64\hero\hero.exe
- SHA-256ハッシュ: b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894
- hero.dll
- ファイルパス: C:\Windows\SysWOW64\hero\hero.dll
- SHA-256ハッシュ: 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9