Um site falso que imita o 7-Zip está distribuindo um instalador trojanizado da conhecida ferramenta de compactação, transformando o computador do usuário em um nó de proxy residencial.
Redes de proxy residencial utilizam dispositivos domésticos para roteamento de tráfego, permitindo burlar bloqueios e facilitar diversas atividades maliciosas, como credential stuffing, phishing e distribuição de malware.
Essa nova campanha veio à tona após um usuário relatar que baixou um instalador malicioso de um site que se passava pelo projeto 7-Zip, seguindo instruções de um tutorial no YouTube sobre montagem de PCs.
O invasor registrou o domínio 7zip[.]com — muito semelhante ao site legítimo 7-zip.org — e copiou textos e a estrutura visual para enganar os usuários.
Ao analisar o arquivo infectado, pesquisadores da Malwarebytes identificaram que ele é assinado digitalmente com um certificado revogado, originalmente emitido para a Jozeal Network Technology Co., Limited.
O instalador malicioso contém o programa legítimo do 7-Zip, garantindo as funcionalidades normais da ferramenta.
No entanto, ele também instala três arquivos maliciosos:
- Uphero.exe — gerenciador de serviço e carregador de atualizações
- hero.exe — payload principal responsável pelo proxy
- hero.dll — biblioteca de suporte
Esses arquivos são posicionados em ‘C:\Windows\SysWOW64\hero\’, e um serviço do Windows configurado para iniciar automaticamente com privilégios de SISTEMA é criado para executar os dois executáveis maliciosos.
Além disso, regras de firewall são modificadas via comando ‘netsh’ para permitir conexões de entrada e saída dos binários.
A máquina infectada é então analisada com Windows Management Instrumentation (WMI) e APIs do Windows para coletar informações sobre hardware, memória, CPU, disco e rede.
Esses dados são enviados para o domínio suspeito ‘iplogger[.]org’.
Segundo a Malwarebytes, “Embora os primeiros indícios apontassem para uma backdoor, análises mais detalhadas mostraram que o objetivo principal do malware é atuar como proxyware.”
Isso significa que o sistema infectado passa a funcionar como um nó de proxy residencial, permitindo que terceiros redirecionem tráfego utilizando o endereço IP da vítima.
O arquivo hero.exe obtém configurações de domínios C2 rotativos com tema “smshero” e abre conexões proxy em portas não convencionais, como 1000 e 1002.
As mensagens de controle são ofuscadas com uma chave XOR simples.
A empresa de segurança também descobriu que a campanha vai além do falso 7-Zip e utiliza instaladores trojanizados para outros softwares populares, como HolaVPN, TikTok, WhatsApp e Wire VPN.
A infraestrutura de C2 gira em torno dos domínios hero/smshero, com o tráfego redirecionado via Cloudflare por meio de conexões HTTPS criptografadas com TLS.
O malware ainda usa DNS-over-HTTPS pelo resolvedor do Google, dificultando o monitoramento tradicional por parte das defesas.
Para evitar detecção durante análises, ele verifica ambientes de virtualização como VMware, VirtualBox, QEMU e Parallels, além da presença de depuradores (debuggers).
A investigação da Malwarebytes teve início após pesquisadores independentes identificarem a real função do malware Uphero/hero.
O pesquisador Luke Acha revelou seu propósito principal, enquanto s1dhy decodificou o protocolo XOR utilizado.
Já o engenheiro de DFIR Andrew Danis conectou o falso instalador do 7-Zip a uma campanha maior, que falsifica diversos softwares.
Foram divulgados indicadores de comprometimento, incluindo domínios, caminhos de arquivo e endereços IP relacionados ao ataque.
Como recomendação, os usuários devem evitar acessar URLs indicados em vídeos do YouTube ou em resultados promovidos em buscadores.
O ideal é marcar os domínios oficiais de download dos softwares usados com frequência para garantir downloads seguros.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...