Поддельный сайт 7-zip, ранее размещающий ссылки на нормальный дистрибутив архиватора, начал распространять вредоносное ПО
В Сети появился очередной сайт-подделка, мимикрирующий под официальный сайт известного проекта. Злоумышленники запустили сайт 7-zip.com, желая привлечь тех, кто хочет скачать известный архиватор.
Официальный сайт этого ПО — 7-zip.org. Но часто именно домен .com является официальным. Обычно сайты-подражатели создают лишь для того, чтобы занять достаточно высокие позиции в результатах веб-поиска, получить клики и заработать немного денег на рекламе. Так было и с этим сайтом-подделкой, но в период с 12 по 22 января ссылки для скачивания начали перенаправлять пользователей на вредоносный исполняемый файл.
Важно, что подлог был не самым обычным. При переходе на 7-zip.com пользователи изначально видели обычные ссылки на официальные исполняемые файлы на 7-zip.org. То есть в целом на этом этапе не было никаких правонарушений. Но примерно через 20-30 секунд запускался скрипт, изменяющий ссылки на зараженные файлы. Это сделано с целью, чтобы базовые автоматизированные утилиты сканирования веб-сайтов видели чистую ссылку и не помечали сайт как вредоносный.
Вредоносное ПО, которое размещал сайт, в целом не особо опасное, но оно устанавливает прокси-сервер, превращая заражённый ПК в часть удаленно управляемого ботнета.