Trojaner

Gefälschte 7-Zip-Installer schleusen Proxy-Malware ein

7 Zip
Bildquelle: Thomas Reichhart/Shutterstock.com

Die Hackergruppe Lurking Lizard infiziert Geräte über gefälschte 7-Zip-Installer, um sie heimlich in ein kommerzielles Proxy-Botnetz zu integrieren.

Das IT-Sicherheitsunternehmen Infoblox hat Details über eine chinesische Bedrohungsakteurgruppe namens Lurking Lizard veröffentlicht. Die Gruppe betreibt seit mindestens August 2022 ein kommerzielles Netzwerk für Wohnsitz-Proxys (Residential Proxies). Dazu nutzt sie eine Infrastruktur aus mehr als 230 manipulierten oder ähnlich aussehenden Domains. Ein zentraler Angriffsvektor war eine Kampagne mit einem manipulierten Installationsprogramm der Packsoftware 7-Zip, das auf der Domain 7zip.com gehostet wurde.

Anzeige

Nutzer, die die offizielle Webseite 7-zip.org verfehlten, luden statzten Schadsoftware herunter, die ihre Geräte unbemerkt in Proxy-Knotenpunkte verwandelte. Infoblox erklärte zu dieser Methode: „In der ursprünglichen 7-Zip-Kampagne wurden die Opfer über Tutorial-Inhalte, suchgesteuerte Entdeckungen und ähnlich aussehende Domains zu bösartigen Installern geleitet.“

Monetarisierung und Infrastruktur-Sharing

Lurking Lizard betreibt ein geschlossenes Geschäftsmodell, das von der Infektion der Geräte bis zum Vertrieb der Proxy-Zugänge reicht. Die Gruppe imitiert bekannte Proxy-Anbieter wie IPIDEA, SmartProxy, IP Royal und 911Proxy und betreibt gefälschte Testportale, um zahlende Kunden auf ihre eigenen Verkaufsseiten zu lenken. Google hatte die Infrastruktur von IPIDEA im Januar 2026 zerschlagen. Anschließende Analysen des Portals Proxyway zeigten jedoch, dass über 773.000 IP-Adressen von SmartProxy auch in einem Datensatz von IPIDEA mit insgesamt über 16 Millionen IPs auftauchten. Dies deutet darauf hin, dass die Anbieter ihre Infrastrukturen gegenseitig vermieten oder teilen. Zu der mehrjährigen Aktivität der Gruppe hieß es seitens der Analysten von Infoblox:

„Anstatt eine einzelne Malware-Kampagne zu betreiben, verwaltet Lurking Lizard seit mehreren Jahren mehrere Phasen des Lebenszyklus von Wohnsitz-Proxys, von der Akquise von Opfergeräten bis hin zum Marketing und Verkauf des Zugangs zu dem resultierenden Netzwerk.“

Anzeige

Infoblox

Ausweitung auf mobile Betriebssysteme

Die Infrastruktur hinter der 7-Zip-Kampagne wurde im Verlauf der Zeit auch für gefälschte Installationspakete verschiedener Anwendungen genutzt:

  • WhatsApp
  • WireVPN
  • Vermeintliche Downloader für TikTok und YouTube

Mit der Marke WireVPN weitete die Gruppe ihre Angriffe auf Windows, macOS und Android aus. Eine im Google Play Store angebotene Anwendung namens wirevpn – Fast Unlimited Proxy – eines britischen Entwicklers verzeichnete mehr als eine Million Downloads. Ob die Proxy-Funktionalität in den mobilen Apps identisch mit den Desktop-Versionen ist, bleibt Gegenstand laufender Ermittlungen. Der Vorfall folgt auf eine Aktion von Google, bei der das Proxy-Netzwerk NetNut beeinträchtigt wurde. Dieses hatte über infizierte Software-Entwicklungskits rund zwei Millionen Smart-TVs und Streaming-Boxen gekapert. Google warnte vor den Folgen für Verbraucher: „Dies birgt ernsthafte Risiken für ahnungslose Gerätebesitzer, da ihre privaten IP-Adressen von Angreifern als Startrampe für Hacking und andere unbefugte Aktivitäten genutzt werden können“.

(red)

Anzeige

Weitere Artikel

Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.