Un utilizator Reddit a urmat cu sârg un tutorial de pe YouTube pentru asamblarea unui PC nou și a instala instrumentele esențiale – inclusiv 7-Zip, arhivatorul popular pentru compresia fișierelor. Doar că a descărcat de pe 7zip[.]com în loc de 7-zip.org, domeniul legitim.
Aproape două săptămâni mai târziu, Microsoft Defender a început să urle: Trojan:Win32/Malgent!MSR.
Surpriză: calculatorul lui fusese transformat într-un nod proxy rezidențial, punând conexiunea la internet la dispoziția unor terțe părți necunoscute, probabil pentru fraudă, scraping sau alte activități care necesită adrese IP reale de consumatori.
O operațiune care nu seamănă cu malware-ul obișnuit
Nu e vorba de un site obscur cu butoane “Download” suspecte peste tot. Operatorii site-ului 7zip[.]com au creat un installer trojanizat care instalează într-adevăr un 7-Zip funcțional, dar care plasează simultan trei componente malware în C:\Windows\SysWOW64\hero\:
- Uphero.exe (service manager)
- hero.exe (payload-ul proxy principal, compilat în Go)
- hero.dll
Installer-ul era chiar semnat digital prin tehnologia de semnare Microsoft Authenticode – certificatul este acum revocat – emis pe numele Jozeal Network Technology Co., Limited, ceea ce îi dădea un aer de legitimitate la prima vedere.
Pentru utilizatori, 7-Zip părea să funcționeze perfect, reducând suspiciunile.
Mai mult, atacatorii mențin un canal independent de actualizări la update.7zip[.]com, ceea ce înseamnă că payload-ul poate fi actualizat fără ca victima să descarce ceva din nou.
Varianta malițioasă 7-Zip obține persistență la nivel SYSTEM printr-un lanț de infecție rapid și metodic :
- Lansare în SysWOW64 – binare plasate într-un director privilegiat, greu de inspectat manual
- Persistență prin servicii Windows – atât Uphero.exe, cât și hero.exe rulează automat cu privilegii SYSTEM la fiecare boot
- Modificarea firewall-ului – malware-ul folosește netsh pentru a șterge reguli existente și a crea noi reguli inbound/outbound, asigurându-se că traficul nu e blocat
- Profilarea sistemului – prin WMI și API-uri Windows, malware-ul enumeră hardware, memorie, CPU, disc și configurații de rețea, trimițând datele către iplogger[.]org
Monetizare prin proxy rezidențial
Deși primele indicii sugerau un backdoor clasic, analiza detaliată a arătat că scopul principal e transformarea gazdei infectate într-un un nod proxy rezidențial, permițând terților să routeze trafic prin IP-ul victimei.
Acest gen de servicii sunt de obicei vândute pentru fraudă, scraping, abuz de reclame, sau anonimizare. În general, cibercriminalii folosesc nodurile rezidențiale pentru trafic malițios sau pentru a-și ascunde urmele în atacuri.
Componenta hero.exe recuperează configurații de la domenii de comandă și control (C2) cu nume de tip “smshero”, apoi stabilește conexiuni proxy pe porturi nestandardizate precum 1000 și 1002 . Protocoalele de comandă sunt obscurizate prin codare XOR (key 0x70) .
Analiza independentă a mai multor specialiști (Luke Acha, s1dhy, Andrew Danis) a documentat mecanismul proxy și a conectat campania la o operațiune mai largă ce distribuie malware similar prin fișiere de instalare false pentru Hola VPN, TikTok, WhatsApp și Wire VPN.
Conform analizei, malware-ul include detectare pentru VMware, VirtualBox, QEMU, face verificări anti-debugging, și folosește DNS-over-HTTPS prin resolver-ul Google pentru a evita monitorizarea DNS tradițională.
Potrivit experților de la compania de securitate cibernetică Malwarebytes, malware-ul conține zeci de domenii C2 folosind convențiile hero și smshero, traficul fiind trecut prin Cloudflare cu sesiuni criptate.
Orice sistem care a executat fișiere de instalare de pe 7zip.com trebuie considerat compromis. Deși Malwarebytes detectează și poate eradica această familie de proxyware, inclusiv reversarea persistenței, reinstalarea completă a sistemului de operare rămâne totuși soluția care oferă cea mai mare siguranță.
