През последните месеци експерти по киберсигурност идентифицираха нова заплаха, свързана с разпространението на фалшиви инсталатори на популярния софтуер 7-Zip. Тази кампания, водена от група, известна като Lurking Lizard, използва над 230 домейна, имитиращи официалния сайт на 7-Zip, за да заблуди потребителите и да инсталира зловреден софтуер на техните устройства.
Какво се случи
Според данни, предоставени от фирмата за DNS разузнаване Infoblox, активността на Lurking Lizard започва поне от август 2022 г. Зловредният софтуер, разпространяван чрез фалшивите инсталатори, превръща заразените компютри в част от мрежа от прокси сървъри, използвани за анонимизиране на трафик и други потенциално незаконни дейности. Тази инфраструктура позволява на операторите да пренасочват интернет трафик през множество устройства, което затруднява проследяването на източника на атаките или злоупотребите.
Защо това е важно
Използването на легитимно изглеждащи инсталатори за разпространение на зловреден софтуер е особено опасно, тъй като потребителите често свалят и инсталират софтуер без допълнителна проверка. В случая с 7-Zip, който е широко използван и с отворен код, доверието към официалния сайт е голямо, което улеснява успешното разпространение на зловредния код.
Превръщането на устройства в прокси възли има няколко негативни последствия. Първо, това може да доведе до сериозно забавяне на интернет връзката на заразените потребители. Второ, техните устройства могат да бъдат използвани за прикриване на киберпрестъпни дейности, което ги излага на потенциални правни и репутационни рискове. Трето, подобна мрежа може да се използва за разпространение на допълнителен зловреден софтуер или за провеждане на атаки срещу други системи.
По-широк контекст
Тази заплаха е част от по-голяма тенденция в киберпрестъпността, където атакуващите използват сложни и дълготрайни кампании, за да изградят инфраструктури, които да им осигурят постоянен достъп и анонимност. Използването на легитимни софтуерни имена и домейни за измама не е ново, но мащабът и продължителността на тази кампания показват повишена организираност и техническа компетентност.
Освен това, подобни прокси мрежи могат да бъдат наети или използвани от други киберпрестъпници, което разширява въздействието на първоначалната атака. Това подчертава необходимостта от по-добра защита на крайните потребители и по-строг контрол върху разпространението на софтуер.
Какво може да последва
В отговор на тази заплаха е вероятно да се засили мониторингът на домейни, имитиращи популярни софтуерни продукти, както и да се разработят по-ефективни методи за откриване на подобни зловредни кампании. Потребителите и организациите трябва да бъдат по-внимателни при свалянето на софтуер, като използват само официални източници и проверяват цифровите подписи на инсталаторите.
В дългосрочен план, подобни инциденти могат да стимулират разработването на по-усъвършенствани решения за киберсигурност, които да предотвратяват използването на легитимни устройства за злонамерени цели. Това включва както технически мерки, така и повишаване на осведомеността сред потребителите.
В заключение, кампанията на Lurking Lizard е пример за това как киберпрестъпниците продължават да адаптират своите методи, използвайки доверени марки и технологии, за да постигнат своите цели. Това налага постоянна бдителност и сътрудничество между експертите по сигурност, разработчиците и крайните потребители.