近日,网络安全公司 Malwarebytes 在其博客中披露了一起大规模的恶意下载攻击事件。攻击者利用极具欺骗性的伪装网站(域名为 7zip.com),冒充知名压缩软件 7-Zip 的官方下载渠道,诱导用户下载携带木马的伪装文件。大量家用电脑在用户不知情的情况下,被黑客操控成住宅代理节点(Residential Proxy Node),被滥用从事网络犯罪活动。

攻击手法与技术细节

攻击者搭建了一个与官方站点几乎一模一样的假冒网站 7zip.com(真实官方域名为 7-zip.org)。该伪装页面与官方站点在页面布局、文本内容甚至下载链接上都高度一致,极具欺骗性。此外攻击者通过搜索引擎优化(SEO)或 YouTube 教学视频进行推广,诱导用户点击下载链接。例如,一名用户在观看 YouTube 组装电脑教程时,误以为点击了官方链接,实际上下载了恶意文件。

恶意软件在伪装安装程序中伪造了 7-Zip 的合法签名,甚至使用了已撤销的证书(原始证书由 Jozeal Network Technology Co., Limited 颁发),进一步增加了其可信度,导致用户难以察觉。安装后,恶意组件以系统级权限运行,并修改防火墙规则规避拦截。它利用 Cloudflare 基础设施传输经 TLS 加密的流量,并利用谷歌解析器的 DNS-over-HTTPS 技术隐藏 DNS 请求,使常规的安全监控手段难以察觉其异常行为。

影响范围与危害

根据调查,该恶意软件活动持续时间较长,且影响范围极广。攻击者通过假冒站点传播木马程序,导致大量家用电脑被感染。虽然恶意文件不会直接破坏用户数据,但会在后台安装代理服务器,将用户电脑变为僵尸网络的一部分。

黑客将受害设备纳入大型家用代理网络,用于匿名攻击、网络钓鱼、垃圾邮件发送、甚至用于掩盖更大规模的网络犯罪活动。由于这些代理节点位于住宅宽带网络中,攻击者可以利用其 IP 地址进行更隐蔽的网络行动。

专家建议

网络安全专家对此次事件提出了警示,提醒用户务必提高警惕。下载软件时应通过书签访问官方域名,切勿轻信视频网站或搜索引擎推广中的第三方下载链接。例如,正确的 7-Zip 官方下载链接应为 7-zip.org,而非 7zip.com

若怀疑系统被感染,应立即停止使用该设备的宽带网络,利用官方渠道下载并安装杀毒软件进行深度扫描与清理。开启防火墙和杀毒软件,避免使用自动化下载工具直接安装软件。注意审查下载文件的证书信息,防止安装带有伪造签名的恶意程序。

安全报道原文:https://www.malwarebytes.com/blog/threat-intel/2026/02/fake-7-zip-downloads-are-turning-home-pcs-into-proxy-nodes?utm_source=appinn.com