Wie 7-Zip wil downloaden, kijkt maar beter twee keer naar de adresbalk. Een website die sterk lijkt op de officiële downloadpagina van het populaire archiveringsprogramma blijkt malware te verspreiden die ongemerkt Windows-pc’s kan overnemen.
Beveiligingsbedrijf Malwarebytes waarschuwt voor het domein 7zip[.]com. Dat lijkt op het eerste gezicht legitiem, maar installeert bij sommige downloads een Trojaans paard. De echte website van 7-Zip gebruikt het .org-domein (7-zip.org), wat het verschil subtiel, maar cruciaal maakt. De valse site biedt ogenschijnlijk werkende versies van 7-Zip aan. Wie de software installeert, krijgt ook effectief een functionerend archiveringsprogramma. Alleen wordt er tijdens het installatieproces op de achtergrond extra malware mee geïnstalleerd.
Volgens Malwarebytes gaat het onder meer om een aangepaste versie van 7zfm.exe en bijkomende bestanden zoals Uphero.exe, hero.exe en hero.dll. Die componenten zorgen ervoor dat het systeem wordt ingeschakeld in een zogenoemd proxy-netwerk. Aanvankelijk leek het om een klassieke backdoor te gaan, maar verdere analyse toont aan dat de malware vooral dienstdoet als proxyware. Dat betekent dat de geïnfecteerde pc wordt opgenomen in een residentieel proxy-netwerk, waarbij derden internetverkeer via het IP-adres van het slachtoffer kunnen omleiden. Zulke netwerken worden vaak gebruikt voor schimmige of ronduit criminele activiteiten.
De ontwikkelaar van 7-Zip, Igor Pavlov, heeft zich al eerder expliciet gedistantieerd van het .com-domein. Hij benadrukte dat er geen enkele band is met 7zip[.]com en riep gebruikers op om de website niet te vertrouwen. Opvallend is dat het .com-domein in het verleden te koop stond. Rond december 2023 begon het plots 7-Zip-downloads aan te bieden, zo blijkt uit het Internet Archive. Sindsdien circuleert de malware actief.
De besmettingen kwamen aan het licht nadat een Reddit-gebruiker meldde dat zijn pc geïnfecteerd raakte na een download via 7zip[.]com. Hij was op de site terechtgekomen via een YouTube-video waarin het verkeerde domein werd aanbevolen. Volgens Malwarebytes toont dat aan hoe eenvoudig aanvallers misbruik maken van kleine fouten in ogenschijnlijk betrouwbare content. Een foutieve link in een video kan zo duizenden gebruikers richting een malafide infrastructuur sturen.
De malware richt zich op Windows-systemen. De valse website is op het moment van schrijven nog steeds actief en blijft besmette downloads aanbieden. Gelukkig detecteren veel gangbare antivirusprogramma’s de dreiging inmiddels en kunnen ze de malware verwijderen. Toch blijft waakzaamheid cruciaal. Wie 7-Zip wil downloaden, doet dat best uitsluitend via het officiële domein: 7-zip.org. Eén letter verschil in de adresbalk kan het onderscheid maken tussen een veilige download en een volledig gecompromitteerde pc.
Schrijf je in op onze nieuwsbrief en ontvang elke week het beste van Clickx in je mailbox.
Krijg Clickx magazine 10 keer per jaar (waarvan 2 extra dikke dubbelnummers) keurig thuisbezorgd.
