IT之家 2 月 11 日消息，網絡安全公司 Malwarebytes 於 2 月 9 日發布博文，一個僞造的 7-Zip 官方網站正在通過搜索引擎和 YouTube 教程傳播木馬程序。

本次安全事件源於一名用戶在觀看 YouTube 組裝電腦教程時，點擊了視頻下方的鏈接下載 7-Zip。該鏈接指向域名為 7zip [.]com 的網站，其頁面佈局、文本內容幾乎與官方正版網站 7-zip.org 一模一樣，極具欺騙性。

IT之家援引 bleepingcomputer 媒體報道，該惡意網站目前仍處於活躍狀態，且通過數字證書僞裝，極易誘導用戶下載。

Malwarebytes 研究人員分析發現，受害者運行該安裝包後，電腦確實會安裝正版 7-Zip 軟件，但安裝程序會同時在 C:\Windows\SysWOW64\hero\ 目錄下釋放三個惡意文件：Uphero.exe（服務管理器）、hero.exe（代理負載主程序）及 hero.dll。

惡意軟件不僅會創建以系統最高權限（SYSTEM）運行的自動啓動服務，還會利用 netsh 命令修改防火牆規則，強制允許這些程序建立入站和出站連接。

該惡意軟件的核心目的並非單純破壞，而是將受害者的電腦轉化為「住宅代理節點」。黑客利用 Windows 管理規範（WMI）蒐集受害者的硬件、網絡及磁盤信息，並將這些數據發送至遠程服務器。

隨後，受感染設備會被租售給第三方，用於隱藏攻擊者的真實 IP 地址，從而執行網絡釣魚、憑證填充（撞庫）等非法活動。

該惡意軟件為了逃避安全檢測，具備高度的反偵察能力。它會主動檢測系統是否運行在 VMware、VirtualBox 等虛擬機環境中，一旦發現處於分析環境便會停止運行。

在通信層面，它通過 Cloudflare 基礎設施傳輸經 TLS 加密的流量，並利用谷歌解析器的 DNS-over-HTTPS 技術來隱藏 DNS 請求，導致常規的安全監控手段難以察覺其異常行為。

研究人員發現，同一攻擊團伙還利用類似手法，製作了 TikTok 和 WhatsApp 等軟件的木馬安裝包。安全專家建議，用戶下載軟件時務必通過書籤訪問官方域名，切勿輕信視頻網站或搜索引擎推廣中的第三方下載鏈接。