بِسْمِ اللَّهِ الرَّحْمَنِ الرَّحِيمِ 

الْحَمْدُ لِلَّهِ رَبِّ الْعَالَمِينَ، وَصَلَّى اللَّهُ وَسَلَّمَ وَبَارَكَ عَلَى عَبْدِهِ وَرَسُولِهِ نَبِيِّنَا مُحَمَّدٍ وَعَلَى آلِهِ وَصَحْبِهِ أَجْمَعِينَ
 السَّلَامُ عَلَيْكُمْ وَرَحْمَةُ اللَّهِ وَبَرَكَاتُهُ

 برنامج 7-Zip عندما يتحول موقع مزيف إلى بوابة لاختراق جهازك

في عالم يزداد اعتمادًا على البرمجيات المجانية مفتوحة المصدر، يبرز برنامج 7-Zip كأحد الأدوات الأساسية التي يعتمد عليها الملايين لضغط وفك ضغط الملفات. لكن مؤخرًا، انقلبت هذه الثقة إلى فخ محكم. فقد اكتشف باحثو الأمن السيبراني حملة خبيثة تستخدم موقعًا مزيفًا يحاكي الموقع الرسمي للبرنامج (7-zip.org) بدقة متناهية، بهدف توزيع نسخة معدلة من 7-Zip تحمل في طياتها برامج ضارة تحول جهاز الضحية إلى أداة لشن هجمات إلكترونية دون علمه.
الموقع المزيف: خداع بصري وهندسة اجتماعية
يكمن جوهر هذه الحملة في موقع الكتروني مصمم ليقع فيه الضحية بمجرد عدم الانتباه. فبدلاً من النطاق الرسمي 7-zip.org، يستخدم المهاجمون النطاق 7zip.com، وهو فرق بسيط في الكتابة قد يغفل عنه الكثيرون . لا يتوقف الأمر عند تشابه العنوان فحسب، بل يمتد ليصل إلى نسخ تصميم وتخطيط الموقع الأصلي بالكامل، مما يخلق واجهة مألوفة تبعث على الثقة في نفس المستخدم .
الخداع هنا متعدد المستويات. فالموقع المزيف لا يقتصر على الظهور في نتائج البحث العضوية فحسب، بل يتم الترويج له أيضًا عبر إعلانات مدفوعة تظهر أعلى نتائج البحث الشرعية . بالإضافة إلى ذلك، تم رصد مقاطع فيديو تعليمية على منصات مثل يوتيوب تشرح بناء أجهزة الكمبيوتر، وتقوم بشكل غير مباشر بتوجيه المشاهدين إلى هذا الموقع الضار لتنزيل الأداة، مما يضفي عليه مصداقية زائفة . بعض التقارير تشير إلى وجود سكريبت خفي داخل الصفحة لا يستبدل روابط التحميل بالنسخة الضارة إلا بعد مرور 20 إلى 30 ثانية من زيارة المستخدم، في محاولة لتجنب أنظمة الفحص الآلي .
البرنامج الضار: "حصان طروادة" يعمل بصمت
عند قيام الضحية بتنزيل البرنامج من الموقع المزيف وتشغيله، تبدأ المرحلة الأكثر خطورة. يقوم المثبت (Installer) بما هو متوقع منه تمامًا: تثبيت نسخة أصلية كاملة الوظائف من 7-Zip، مما يطمئن المستخدم بأنه حصل على البرنامج الصحيح ولا يشك في شيء . لكن في الخلفية، يتم تنفيذ عملية تثبيت صامتة لثلاثة مكونات خبيثة هي:
Uphero.exe: وهو مدير خدمة ومحمل تحديثات.
hero.exe: وهو الحمولة الأساسية للبرنامج الضار، مكتوب بلغة Go.
hero.dll: وهي مكتبة دعم إضافية .
يتم إسقاط هذه الملفات في دليل نظام محمي بعمق، وهو C:\Windows\SysWOW64\hero\، وهو موقع لا يفكر المستخدم العادي في تفتيشه . بعد ذلك، يقوم البرنامج الضار بإنشاء خدمات ويندوز (Windows Services) تعمل تلقائيًا عند بدء التشغيل بصلاحيات على مستوى النظام (SYSTEM privileges)، مما يضمن بقاءه في الجهاز حتى بعد إعادة التشغيل . ولتأمين اتصاله بالإنترنت ومنع أي حظر، يقوم المالوير بتعديل جدار الحماية المحلي باستخدام أداة netsh، واضعًا قواعد جديدة تسمح لهذه الملفات بالاتصال بحرية .
الهدف الحقيقي: تحويل جهازك إلى عقدة بروكسي مدفوعة
الغرض من هذه البرمجية الخبيثة ليس سرقة الملفات أو تجسس التقليدي، بل هو أكثر دهاءً. فقد أظهرت التحليلات أن الهدف النهائي هو تحويل الجهاز المصاب إلى عقدة بروكسي سكني (Residential Proxy Node) . بعبارة أخرى، يتم تجنيد جهاز الضحية ضمن شبكة كبيرة من أجهزة الكمبيوتر المخترقة حول العالم.
بمجرد إصابة الجهاز، يتصل المكون hero.exe بخوادم القيادة والتحكم (C2) التي تحمل أسماء مثل "smshero" . يقوم الجهاز بعد ذلك بتوجيه حركة المرور عبر شبكة الضحية، باستخدام عنوان IP الخاص به. يقوم المهاجمون بتأجير حق الوصول إلى شبكة البروكسي هذه لأطراف ثالثة، والذين يستخدمونها لأنشطة غير قانونية أو غير أخلاقية مثل:
الاحتيال الإعلاني (Ad Fraud).
اختراق الحسابات (Credential Stuffing).
تنفيذ هجمات تصيد (Phishing).
التستر خلف عناوين IP "نظيفة" لتجنب الحظر الجغرافي أو الأمني .
تقنيات متقدمة للتهرب والإخفاء
ما يجعل هذه الحملة خطيرة بشكل خاص هو استخدام تقنيات متطورة للتهرب من برامج الحماية وباحثي الأمن:
شهادة توقيع مزيفة: كان المثبت الضار موقّعًا برقميًا بشهادة صادرة لشركة "Jozeal Network Technology Co., Limited"، مما أعطى الملف مصداقية مؤقتة أمام أنظمة التشغيل قبل إبطالها .
اكتشاف بيئة التحليل: يتضمن المالوير فحوصات لاكتشاف ما إذا كان يعمل داخل جهاز افتراضي (Virtual Machine) مثل VMware أو VirtualBox، وإذا تم اكتشاف ذلك، قد يتوقف عن العمل لتجنب التحليل .
تشفير الاتصالات: يتم تشفير حركة المرور باستخدام TLS وإخفاء أوامر التحكم بخوارزميات XOR، مما يصعب عملية التفتيش والكشف . كما أنه يستخدم DNS-over-HTTPS عبر جوجل، مما يخفي المواقع التي يتصل بها ضمن حركة المرور المشفرة العادية .
بنية تحتية متطورة: تعتمد الحملة على نطاقات قيادة وتحكم متعددة ومتجددة تمر عبر شبكة Cloudflare، مما يجعل حظرها بناءً على عناوين IP فقط أمرًا صعبًا .
كيف تحمي نفسك ومؤشرات الاختراق
لتجنب الوقوع في هذا الفخ، يجب الالتزام بقواعد صارمة:
تحقق من العنوان بدقة: تأكد دائمًا من أنك في الموقع الرسمي الوحيد وهو: https://7-zip.org/ .
لا تعتمد على محركات البحث: قم بإضافة الموقع الرسمي إلى قائمة الإشارات المرجعية (Bookmarks) واستخدمه دائمًا للوصول إلى التحميلات، بدلًا من النقر على الروابط في نتائج البحث أو مقاطع الفيديو .
افحص نظامك: إذا كنت قد حمّلت 7-Zip من 7zip.com، فافترض أن جهازك مخترق. قم بفحص شامل باستخدام برنامج أمان موثوق. ابحث عن الملفات الخبيثة في المسار C:\Windows\SysWOW64\hero\، وراجع خدمات الويندوز بحثًا عن خدمات مرتبطة بهذا المسار، وتحقق من قواعد جدار الحماية غير المألوفة .
في النهاية، تمثل حملة 7-Zip المزيفة تذكيرًا قويًا بأن المهاجمين يستغلون الثقة والخطأ البشري، وليس فقط الثغرات البرمجية. فاليقظة والانتباه للتفاصيل الصغيرة هما خط الدفاع الأول ضد هذه التهديدات المتطورة.