7zip.com sahifasidan yuklangan soxta arxiv dasturi – kiberxavfsizlik tahdidi

Yaqinda tahlilchilar 7zip.com domenidan yuklangan soxta 7‑Zip arxiv dasturi foydalanuvchi kompyuterini rezident proksi tuguniga aylantirganini aniqladilar. Bu tahdid oddiy domen xatosi orqali keng tarqalib, Windows tizimida chuqur integratsiya qilingan.

Kirish

Ko‘plab foydalanuvchilar YouTube darsliklari yoki forum tavsiyalariga tayanib, 7zip.com manzilidan dastur yuklab olishadi. Aslida rasmiy loyiha 7‑zip.orgda joylashgan. Soxta sayt esa haqiqiy 7‑Zip File Managerni o‘z ichiga olgan, ammo orqasida trojan yashirgan installerni tarqatadi.

Soxta installer qanday ishlaydi?

Yuklab olingan fayl Authenticode imzosi bilan ta’minlangan, lekin imzo revoked (bekor qilingan) sertifikatga asoslangan. O‘rnatish jarayonida foydalanuvchi 7‑Zip funksiyalarini ko‘radi, ammo bir vaqtning o‘zida quyidagi komponentlar tizimga qo‘shiladi:

• Uphero.exe – xizmat menejeri va yangilash yuklagichi;
• hero.exe – asosiy proksi yuklamasi (Go tilida kompilyatsiya qilingan);
• hero.dll – qo‘shimcha kutubxona.

Barcha fayllar C:\Windows\SysWOW64\hero\ papkasiga yoziladi, bu esa odatda foydalanuvchi tomonidan tekshirilmaydi.

Tahlil natijalari

Malware quyidagi bosqichlarni bajaradi:

1. Fayl joylashtirish – yuqoridagi komponentlar tizimga yoziladi, administrator huquqlari talab qilinadi.
2. Doimiylik – Uphero.exe va hero.exe Windows xizmatlari sifatida ro‘yxatga olinadi, har safar tizim ishga tushganda avtomatik ishga tushadi.
3. Firewall qoidalari – netsh komandasi orqali eski qoidalar o‘chirilib, yangi kirish/chiqish ruxsatnomalari qo‘shiladi.
4. Ma’lumot yig‘ish – WMI va Windows API orqali qurilma identifikatori, CPU, RAM, disk va tarmoq ma’lumotlari to‘planadi.
5. Proksi ro‘yxatga olish – ma’lumotlar iplogger.org va hero‑sms domenlariga yuborilib, qurilma rezident proksi tuguni sifatida ishlatiladi.

Proksi trafik XOR kodlash (kalit 0x70) bilan himoyalanadi, shuningdek HTTPS orqali shifrlangan C2 (Command‑and‑Control) serverlariga ulanadi. DNS‑over‑HTTPS (Google resolver) ishlatilgani sababli an’anaviy DNS monitoringi orqali aniqlash qiyinlashadi.

Indicatory of Compromise (IOC) – muhim ko‘rsatkichlar

• Fayl yo‘llari: C:\Windows\SysWOW64\hero\Uphero.exe, hero.exe, hero.dll
• SHA‑256 hash: e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
• Windows xizmatlari nomi: Uphero, hero
• Firewall qoidalari: "Uphero" yoki "hero" nomli kirish/chiqish ruxsatnomalari
• C2 domenlari: soc.hero-sms.co, neo.herosms.co, flux.smshero.co va boshqalar

Kiberxavfsizlik tavsiyalari

7zip.com manzilidan biror dasturni yuklagan bo‘lsangiz, tizimingizni quyidagicha tekshiring:

• Windows xizmatlar ro‘yxatini ko‘rib chiqing – noma’lum hero yoki Uphero xizmatlari mavjud bo‘lsa, ularni o‘chirib, tizimni qayta ishga tushiring.
• Firewall qoidalarini tekshiring – "hero" yoki "Uphero" nomli qoida bo‘lsa, uni o‘chirib, standart holatga qaytaring.
• Antivirus yoki antimalware (Masalan, Malwarebytes) bilan to‘liq skanerlashni bajaring.
• Kelajakda dastur yuklashda rasmiy manbalarni (7‑zip.org) tekshiring, URLni diqqat bilan o‘qing.

Xulosa

Bu tahdid domen xatosi orqali foydalanuvchi ishonchini suiiste’mol qilishga asoslangan. Soxta 7‑Zip installerining orqasida murakkab proksi‑malware yashiringan, bu esa qurilmani rezident proksi tuguniga aylantiradi va kiberjinoyatchilarga daromad keltiradi. Kiberxavfsizlik choralarini qabul qilish, rasmiy manbalarga tayanish va xavfsizlik vositalarini yangilab turish orqali bunday tahdidlarni oldini olish mumkin.