圧縮ソフト「7-Zip」の非公式サイト「7zip.com」が、期限切れドメインを取得する「ドロップキャッチ」で入手されたものだったと、脅威分析企業Infobloxが明らかにした。フォーラム投稿で公式URLが何年も誤記載され続けたことで検索エンジン上の見かけの正当性を積み上げ、YouTubeチュートリアル動画からの誤参照も加わって閲覧者を集めていたという。攻撃者はこの下地を利用し、2026年1月のある時点でWindows版のダウンロードリンクだけをひそかに悪性サイトへ差し替えた。ARM版・Linux版・macOS版のリンクは正規サイトを指したままだったため、発覚が遅れた一因になったとみられる。
配布された改変版インストーラーは正規の7-Zip実行ファイルを内包しつつ、hero.exe等のコンポーネントをC:\Windows\SysWOW64\hero配下に配置し、「Helper Service」の名でWindowsサービスとしてSYSTEM権限で自動起動させる。動的解析ではnetshによるファイアウォール規則の追加・削除、WMIを用いた端末情報の収集、非標準ポート(1000/1002)経由でXORキー0x70により符号化された通信も確認されている。最終的に感染端末は「レジデンシャルプロキシ」の1ノードとして転売される仕組みだ。

Infobloxはこの運営主体を「Lurking Lizard」と命名し、少なくとも2022年8月からWireVPN等の別ブランドを並行運用してきたと分析、230超のドメインを同一基盤に紐付けた。ただしこの帰属評価は現時点でInfoblox単独の分析にとどまり、他社による独立した追認は確認できていない。

ハッカー目線で興味深いのは、攻撃の起点が脆弱性ではなく「検索順位とコミュニティの誤記載」という人間側の隙だった点だ。正規URLの周知不足がそのまま攻撃対象領域になる。ソフトを落とす前は必ず公式ドメインとハッシュ値を確認し、身に覚えのない常駐サービスがないか定期的に棚卸しする習慣が効く。
COMMENTS 0
No comments yet — be the first to leave one.