7zip.com網址是假的！下載7-Zip會中木馬，電腦淪為駭客跳板

網路安全公司 Malwarebytes 於 9 日發布警告，指出駭客架設了一個與正版 7-Zip 官網幾乎一模一樣的假網站「7zip.com」，使用者下載後雖然會安裝正常的 7-Zip 軟體，卻同時被暗中植入三個惡意木馬程式，被駭客出租電腦給第三方使用。 （前情提要：Mixin Network 駭客沉睡兩年後「倒貨 2000 枚以太坊」！仍持有 57849 枚 ETH 與 891 枚 BTC ） （背景補充：求職面試竟是北韓駭客陷阱！PurpleBravo入侵逾3,100個IP地址，AI與加密貨幣公司成最大獵物 ）   常聽到的 7-Zip 是一款廣受歡迎的免費開源壓縮軟體，正版官網為 7-zip.org。然而，駭客註冊了極為相似的網域「7zip.com」，其頁面設計、文字內容甚至下載連結的排版都與正版網站如出一轍。 更危險的是，駭客在 Google 搜尋引擎投放廣告，使得假網站的排名甚至高於正版官網。許多不知情的使用者在搜尋「7-Zip 下載」時，第一個點進去的就是這個仿冒網站。該假網站還具備合法的 SSL 數位憑證，瀏覽器會顯示安全鎖頭圖示，讓用戶更難分辨真假。 據實測，該惡意網站仍處於活躍狀態，裝了後門的 7-zip 也能下載。此外，不少 YouTube 教學影片也在無意間成為散播管道，因為影片製作者誤將 7zip.com 當成正版網址推薦給觀眾。 安裝正版軟體只是幌子 這起攻擊最狡猾之處在於：使用者下載安裝後，電腦上確實會出現正常運作的 7-Zip 軟體，絕大多數人完全不會察覺異常。但安裝程式在背後同步執行了另一套動作，在 C:\Windows\SysWOW64\hero\ 目錄下釋放三個惡意檔案： Uphero.exe（服務管理員）：負責註冊為 Windows 服務，確保木馬在系統重啟後自動運行 hero.exe（代理負載主程式）：以 Go 語言編譯，透過非標準連接埠（1000、1002）建立對外代理連線 hero.dll（動態連結庫）：輔助核心功能運作 這三個檔案會以系統最高權限（SYSTEM）運作，並利用 netsh 指令修改 Windows 防火牆規則，刪除既有規則後新增允許入站和出站的規則，讓駭客的流量暢通無阻。通訊過程使用 XOR 編碼（密鑰 0x70）進行混淆，增加資安人員分析的難度。 被「出租」的中毒電腦 一旦木馬成功部署，受害電腦就會變成所謂的「住宅代理節點」（Residential Proxy Node）。簡單來說，駭客會把你家裡的電腦 IP 位址和網路頻寬打包成商品，出租給第三方使用。 這些第三方可能利用你的網路身份進行各種活動，包括：隱藏真實身份進行網路攻擊、繞過地區限制存取服務、大規模爬蟲或自動化操作等。由於流量看起來來自一般家庭用戶的 IP，傳統的安全偵測機制很難將其辨識為惡意行為。 Malwarebytes 研究暨回應經理 Stefan Dasic 明確表示： 任何曾從 7zip.com 下載並執行安裝程式的系統，都應被視為已遭入侵。 如何自我檢查、如何防範？ Malwarebytes 提供了幾項自我檢查指標，使用者可以確認電腦是否已中招： 檢查是否存在 C:\Windows\SysWOW64\hero\ 資料夾 檢查 Windows 服務中是否有引用該路徑的項目 檢查防火牆規則中是否出現名為「Uphero」或「hero」的入站/出站規則 若確認受感染，Malwarebytes 表示其工具可以偵測並清除已知變種，同時還原被竄改的持久化機制。不過他們也補充， 慢霧解析 Google 假廣告「加密釣魚」背後技術 你的電腦正在幫駭客挖比特幣！3,500 個網站遭植入「挖礦腳本」，隱形劫持讓用戶毫無察覺 盜版加密軟體猖獗：小心 App Store 隱藏的危險陷阱 最重要的防範建議：下載任何軟體前，務必確認網址是否為官方網域。7-Zip 的唯一正版官網是 7-zip.org，而非 7zip.com。建議將常用軟體的官方網站加入書籤，避免透過搜尋引擎點擊可能被操控的連結。 相關報導 慢霧解析 Google 假廣告「加密釣魚」背後技術 你的電腦正在幫駭客挖比特幣！3,500 個網站遭植入「挖礦腳本」，隱形劫持讓用戶毫無察覺 盜版加密軟體猖獗：小心 App Store 隱藏的危險陷阱 〈7zip.com網址是假的！下載7-Zip會中木馬，電腦淪為駭客跳板〉這篇文章最早發佈於動區BlockTempo《動區動趨-最具影響力的區塊鏈新聞媒體》。