Фейковый сайт 7-Zip превращал компьютеры жертв в прокси-узлы для мошенников

Инцидент привлек внимание после публикации в сообществе Reddit r/pcmasterrace. Пользователь, собиравший новый ПК по видеоинструкции с YouTube, установил 7-Zip с сайта 7zip[.]com, не зная, что официальный ресурс разработчика расположен исключительно на 7-zip.org. Сначала он столкнулся с ошибками, а спустя почти две недели Microsoft Defender обнаружил угрозу с меткой Trojan:Win32/Malgent!MSR. Этот случай наглядно показывает, как простая путаница в доменных именах может привести к долгосрочному несанкционированному использованию системы.

Злоумышленники создали не просто сайт с вредоносной загрузкой, а тщательную имитацию. Они распространяли модифицированный инсталлятор, который, помимо рабочей версии файлового менеджера 7zfm.exe, скрытно устанавливал вредоносную нагрузку (payload). Для придания видимости легитимности установщик был подписан сертификатом компании Jozeal Network Technology Co., Limited, который впоследствии был отозван. Параллельно с архиватором в систему незаметно попадали три компонента: Uphero.exe (менеджер служб и загрузчик обновлений), hero.exe (основной прокси-модуль, скомпилированный на Go) и hero.dll (вспомогательная библиотека). Все файлы размещались в защищенной системной директории C:\Windows\SysWOW64\hero\, куда обычные пользователи редко заглядывают.

Особую озабоченность вызывает эксплуатация доверенных каналов распространения. Как показывает пример с YouTube, авторы обучающих видео по ошибке могут ссылаться на фишинговый домен, невольно становясь вектором распространения вредоносного ПО. Таким образом, злоумышленники используют мелкие ошибки в благонадежном контенте для масштабного перенаправления жертв на свою инфраструктуру.

Анализ поведения выявил быструю и методичную цепочку заражения. После установки в SysWOW64, что требует повышенных привилегий, вредоносное ПО регистрирует Uphero.exe и hero.exe в качестве автозапускаемых служб Windows с правами SYSTEM, обеспечивая постоянство (persistence). Затем оно манипулирует правилами брандмауэра, используя утилиту netsh для удаления старых правил и создания новых, разрешающих входящий и исходящий трафик для своих компонентов. Это снижает риск блокировки и обеспечивает беспрепятственное обновление. Далее программа проводит профилирование системы, собирая данные об оборудовании и сетевой конфигурации, и отправляет их на внешний сервер, такой как iplogger[.]org.

Первоначальные признаки указывали на функции бэкдора, однако дальнейший анализ показал, что основная цель - это прокси-инфраструктура. Зараженный компьютер становится резидентским прокси-узлом, позволяя третьим сторонам перенаправлять трафик через IP-адрес жертвы. Модуль hero.exe получает конфигурацию со сменяемых командных серверов (command-and-control, C2) и устанавливает исходящие прокси-соединения на нестандартных портах. Трафик шифруется с помощью легковесного протокола на основе XOR. Такая инфраструктура характерна для сервисов, которые продают доступ к реальным IP-адресам для веб-скрапинга, мошенничества с рекламой или отмывания анонимности.

Имитация 7-Zip, судя по всему, является частью более масштабной операции. Аналитики обнаружили связанные файлы с именами вроде upHola.exe, upTiktok, upWhatsapp и upWire, использующие идентичные тактики, методы и процедуры (tactics, techniques, and procedures, TTP). Все они развертываются в SysWOW64, используют службы Windows для постоянства, манипулируют брандмауэром и общаются с C2 через зашифрованный HTTPS-трафик.

Вредоносная программа демонстрирует развитые возможности противодействия анализу. Она проверяет среду на наличие признаков виртуальных машин (VMware, VirtualBox, QEMU, Parallels), использует антиотладочные техники, разрешает API во время выполнения и инспектирует процессы. Для защиты конфигурации и трафика задействуются различные криптографические алгоритмы, включая AES, RC4 и Camellia. Кроме того, для связи с C2 может применяться DNS-over-HTTPS, что осложняет обнаружение на сетевом уровне.

Специалисты по безопасности рекомендуют считать скомпрометированной любую систему, где запускался установщик с 7zip[.]com. Хотя вредоносное ПО получает высокие привилегии и меняет настройки брандмауэра, современные антивирусные решения способны обнаружить и удалить эту угрозу. Например, Malwarebytes эффективно обезвреживает известные варианты этой программы. В критически важных системах для полной уверенности можно рассмотреть чистую переустановку ОС. Пользователям и администраторам советуют всегда проверять источники загрузки ПО, скептически относиться к неожиданным цифровым подписям, отслеживать несанкционированные службы и изменения правил брандмауэра, а также блокировать известные адреса C2 на периметре сети.

Раскрытие деталей этой кампании стало возможным благодаря работе независимых исследователей. Люк Ача (Luke Acha) первым провел комплексный анализ, показав, что семейство Uphero/hero функционирует как резидентское прокси-ПО, а не классический бэкдор. Исследователь под ником s1dhy реверсировал и декодировал протокол связи на основе XOR. Эндрю Дэнис (Andrew Danis) помог связать фейковый установщик 7-Zip с другими кампаниями, злоупотребляющими именами известного софта. Их коллективная работа подчеркивает важность открытых сообществ в борьбе с долгосрочными кампаниями, которые полагаются на доверие пользователей, а не на уязвимости в коде.

Эта атака демонстрирует, насколько эффективными могут быть комбинация подделки бренда и технически продвинутого вредоносного ПО. Злоумышленники, эксплуатируя доверие вместо поиска уязвимостей, обходят многие традиционные меры защиты, превращая рядовую загрузку утилиты в долгосрочную инфраструктуру для монетизации.

IPv4

• 104.21.57.71
• 172.67.160.241

Domains

• 7zip.com
• apex.herosms.ai
• flux.smshero.co
• glide.smshero.cc
• iplogger.org
• mint.smshero.com
• neo.herosms.co
• nova.smshero.ai
• prime.herosms.vip
• pulse.herosms.cc
• soc.hero-sms.co
• spark.herosms.io
• svc.ha-teams.office.com
• vivid.smshero.vip
• zest.hero-sms.ai

SHA256

• 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9
• b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894
• e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027

Mutex

• Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7