Установщик 7-Zip с подменённого сайта превращает компьютеры в узлы скрытой прокси-сети

В последние недели аналитики по информационной безопасности пристально изучают подозрительный установщик архиватора 7-Zip, который скрытно превращает заражённый компьютер в резидентный прокси-сервер, так называемое proxyware-решение. Этот артефакт, неформально названный upStage Proxy, представляет собой новый пример злонамеренного использования доверия пользователей к популярному ПО и поднимает вопросы о безопасности даже легитимных инструментов, скачанных из непроверенных источников.

Описание

Инсталлятор распространяется через сайт 7zip[.]com, который, несмотря на профессиональный вид и давнее существование, не является официальным ресурсом разработчиков архиватора. Настоящий сайт проекта - 7-zip.org. Важно отметить, что на момент подготовки материала ссылка для скачивания на поддельном сайте уже ведёт на официальный дистрибутив, что может свидетельствовать о реакции злоумышленников на внимание исследователей. Установщик был подписан сертификатом на имя «JOZEAL NETWORK TECHNOLOGY CO., LIMITED», который к настоящему времени отозван. Внутри дистрибутива находится модифицированный исполняемый файл 7zfm.exe, также подписанный этим сертификатом.

Ключевое отличие этой сборки от официальной заключается во внедрённых в неё трёх дополнительных файлах: upHreo.exe, hero.exe и hero.dll. Основные вредоносные компоненты представляют собой бинарные файлы, скомпилированные на языке Go, и размещаются в каталоге "C:\Windows\SysWOW64\hero". Функционал модулей выстроен последовательно: upHero.exe модифицирует правила брандмауэра Windows, чтобы разрешить сетеую активность для основного компонента, а hero.exe, загружающий hero.dll, устанавливается в систему как служба для обеспечения персистентности, то есть постоянного присутствия.

Сетевое поведение вредоноса особенно интересно. Служба hero.exe пытается подключиться к ряду доменов с шаблонными именами, например, "smshero", после чего устанавливает прямое соединение по IP-адресу на порты 1000 или 1002. Исследователи, среди которых выделяются аналитики под никами s1dhy и Andrew Danis, провели глубокий разбор этого механизма. Первоначальный анализ трафика показал, что соединения не являются VPN-туннелями. Внимание привлекли повторяющиеся символы и участки открытого текста в передаваемых данных.

Более тщательное изучение позволило выявить использование кастомного HTTP-протокола с применением кодирования XOR с ключом 70 для части полезной нагрузки. Расшифровка открыла множество доменных имён, связанных с этой кампанией. Дальнейший анализ, проведённый s1dhy, позволил полностью раскрыть протокол взаимодействия, включая маркеры начала передачи и структуру скрытых команд. Было также обнаружено, что конечная точка подключения (IP:PORT) зависит от географического местоположения жертвы, что определяется через внешний сервис геолокации по IP.

Обнаруженные связи с другими образцами, такими как upHola, upWire (связанный с WireVPN) и isharkvpn, а также строки, указывающие на проверку работы в виртуальной машине, говорят о возможной принадлежности к более широкому семейству вредоносного ПО. Наличие в коде опечаток, вроде «upWhtatsapp», может косвенно указывать на уровень подготовки авторов.

Главный вывод специалистов заключается в том, что основная цель этой кампании - создание скрытой распределённой прокси-сети (прокси-ботнета) из скомпрометированных компьютеров. Такой ботнет может затем использоваться для скрытия активности других киберпреступных операций, таких как массовая рассылка спама, автоматизированные атаки на веб-приложения, кража учётных данных или обход географических ограничений. Опасность этой угрозы усугубляется вектором атаки: пользователи, намеренно ищущие популярный бесплатный софт, попадают на поддельный, но убедительный сайт и самостоятельно устанавливают вредоносную программу, обходя многие технические средства защиты.

С практической точки зрения этот инцидент служит важным напоминанием о необходимости соблюдения базовых правил кибергигиены. Специалистам по безопасности в компаниях стоит усилить мониторинг нестандартных исходящих подключений на необычные порты (например, 1000, 1002) и создание служб с маскировкой под легитимные имена. Для конечных пользователей критически важно загружать программное обеспечение исключительно с официальных сайтов разработчиков, проверять цифровые подписи исполняемых файлов и использовать антивирусные решения с функциями поведенческого анализа, способными обнаружить несанкционированное создание сетевых правил и служб. Текущий случай с upStage Proxy наглядно показывает, как классическая тактика компрометации через подмену дистрибутивов продолжает оставаться эффективной в эпоху сложных целевых атак.