Um site clonado do 7-Zip infectou usuários por dez dias, com o malware substituindo os links com um certo atraso.

Ao instalar um sistema operacional, a maioria dos usuários instala compactadores como 7-Zip, PeaZip ou WinRAR quase sem pensar. Mas é fácil cair na armadilha de baixar inadvertidamente um arquivo executável de uma fonte não oficial — que foi exatamente o que aconteceu com o site 7-zip.com ao longo de dez dias.

Fonte da imagem: Xavier Cee / unsplash.com

O site oficial do 7-Zip só pode ser acessado em 7-zip.org. Infelizmente, projetos de software livre são frequentemente acompanhados por sites imitadores que se posicionam bem nos mecanismos de busca, atraem cliques e lucram com publicidade. Esse foi o caso do 7-zip.com, mas, de 12 a 22 de janeiro, esse site forneceu links para download de arquivos executáveis ​​maliciosos.

O redirecionamento foi implementado de uma maneira bastante inteligente. Ao visitar 7-zip.com, os usuários viam links normais para download dos arquivos executáveis ​​oficiais em 7-zip.org. No entanto, após cerca de 20 a 30 segundos, um script era acionado, substituindo os links, e os usuários baixavam arquivos infectados. Devido a isso, ferramentas básicas de varredura automatizada de sites identificavam o link correto, e o recurso não era marcado como malicioso.

O malware instalado com o compactador configurava um servidor proxy no computador da vítima, transformando-o em uma botnet controlada remotamente. Como resultado, os cibercriminosos podiam operar por meio dele e ocultar suas origens. É difícil dizer se essa foi uma escolha deliberada dos proprietários do site imitador — eles dificilmente esperavam continuar lucrando com a publicidade quando o site foi sinalizado como distribuidor de malware. A conclusão é clara: é sempre recomendável baixar softwares de fontes oficiais e você deve sempre verificar qual fonte é oficial.