هنگام راه‌اندازی یک رایانه شخصی جدید، نصب ابزاری مانند 7-zip، PeaZip یا WinRAR کاری است که معمولاً بدون فکر انجام می‌دهیم. اما به راحتی می‌توان در دام دانلود فایل‌های اجرایی مخرب از منابع غیررسمی افتاد، که این اتفاق برای حدود ۱۰ روز با وب‌سایت 7-zip.com رخ داد.

به عبارت دیگر، وب‌سایت رسمی پروژه 7-Zip، 7-zip.org است. با این حال، طبق معمول، پروژه‌های رایگان وب‌سایت‌های مقلد را جذب می‌کنند — که هدف معمول آن‌ها فقط این است که در جستجوهای وب به اندازه کافی بالا قرار گیرند تا کلیک جذب کرده و درآمد تبلیغاتی کسب کنند. این به نظر می‌رسید که در مورد 7-zip.com نیز چنین باشد، تا بازه زمانی ۱۲ تا ۲۲ ژانویه — زمانی که لینک‌های دانلود شروع به هدایت کاربران به یک فایل اجرایی آلوده به بدافزار کردند.

تغییر مسیر لینک‌ها کمی زیرکانه بود، زیرا پس از ورود به 7-zip.com، لینک‌های عادی به فایل‌های اجرایی رسمی در 7-zip.org را مشاهده می‌کردید. اما پس از حدود ۲۰ تا ۳۰ ثانیه، یک اسکریپت فعال می‌شد و لینک‌ها را به فایل‌های آلوده تغییر می‌داد. این طراحی شده بود تا ابزارهای اسکن خودکار وب‌سایت، لینک تمیز را ببینند و سایت را مخرب علامت‌گذاری نکنند.

ما خودمان این موضوع را با بازدید از Wayback Machine تأیید کردیم، اما قطعاً به دیگران توصیه نمی‌کنیم که این کار را انجام دهند. بدافزار مورد نظر به خودی خود کار زیادی انجام نمی‌دهد، اما یک سرور پروکسی نصب می‌کند — و رایانه قربانی را به بخشی از یک بات‌نت کنترل از راه دور تبدیل می‌کند. از آنجا، مجرمان می‌توانند فعالیت‌های خود را از طریق آن هدایت کنند تا منشأ خود را پنهان کنند. MalwareBytes یک گزارش مفصل از این تروجان را در وب‌سایت خود دارد، و لوک آچا، کارشناس امنیت سایبری، یک بررسی فنی عمیق منتشر کرده است.

در مورد نیت مخرب وب‌سایت، گفتن آن دشوار است. به هر حال، اگر وب‌سایت کسی به عنوان ارائه‌دهنده بدافزار علامت‌گذاری شود، به سختی می‌تواند درآمد تبلیغاتی کسب کند. این اولین (یا میلیونمین) باری نیست که یک شبکه تبلیغاتی یک اسکریپت مخرب ارائه می‌دهد — اگرچه این واقعیت که دستگاه‌های آزمایشی ما با NextDNS فعال و مسدودکننده تبلیغات، اسکریپت مورد نظر را مسدود نکردند، نگران‌کننده است.

این مشکل ابتدا توسط کاربران SourceForge در یک تاپیک انجمن شناسایی شد، و به نظر می‌رسد اولین گروه فنی که آن را کشف کرد، کنسرسیوم ژاپنی IISJ-SECT بوده است. آگاهی گسترده از طریق یک پست Reddit به دست آمد که در آن یک کاربر نگون‌بخت توضیح داد که از یک آموزش YouTube پیروی کرده و به وب‌سایت مخرب هدایت شده است — احتمالاً ناخواسته، زیرا بسیار رسمی به نظر می‌رسید.

درس اینجا روشن است: همیشه نرم‌افزار را از منابع رسمی دانلود کنید و مطمئن شوید که منبع رسمی چیست. همچنین، ارزش دارد که برای بررسی هش فایل‌های دانلود شده، کمی بیشتر تلاش کنید — ما HashTools برای ویندوز و sha256sum یا GtkHash/QuickHash برای لینوکس را پیشنهاد می‌کنیم.