Attenzione al falso sito di 7-Zip: distribuisce malware

In seguito alla segnalazione di un utente, i ricercatori di Malwarebytes hanno individuato un malware che trasforma il computer in un proxy residenziale. È nascosto in un installer di 7-Zip distribuito tramite un sito che sembra quello ufficiale. I cybercriminali (ignoti) hanno sfruttato la popolarità di altri software per ottenere lo stesso scopo.

Il sito ufficiale è 7-zip.org

L’utente ha seguito un tutorial su YouTube, in cui veniva suggerito di scaricare 7-Zip dal sito fasullo (purtroppo ancora online). Il creatore del video ha involontariamente indicato il dominio sbagliato. Il design del sito è identico a quello legittimo, così come i nomi degli installer. Durante l’uso sono apparsi diversi errori, quindi l’utente ha deciso di sfruttare la funzionalità integrata in Windows. Circa due settimane dopo, Microsoft Defender ha rilevato il malware.

L’installer era firmato con un certificato emesso da Jozeal Network Technology Co. Limited (successivamente revocato). Insieme all’eseguibile legittimo di 7-Zip venivano copiati tre file (Uphero.exe, hero.exe e hero.dll) nella directory C:\Windows\SysWOW64\hero\. I due eseguibili sono stati registrati come servizi Windows che si avviano automaticamente.

Uphero.exe permette di scaricare versioni aggiornate del malware hero.exe. Quest’ultimo rimuove le regole esistenti del firewall e crea nuove regole per consentire il traffico in entrata e uscita ai due eseguibili. Il malware usa inoltre i tool di Windows per raccogliere informazioni sul computer (inviate ad un server esterno).

Apparentemente sembrano funzionalità tipiche di una backdoor. In realtà si tratta di un proxyware. Il computer diventa un proxy residenziale che permette di reindirizzare il traffico attraverso l’indirizzo IP dell’ignara vittima. Questa tecnica viene sfruttata per evitare la rilevazione della provenienza degli attacchi informatici.

Gli esperti di Malwarebytes hanno trovato altri installer fasulli di noti software, tra cui HolaVPN, TikTok, WhatsApp e Wire VPN, quindi i cybercriminali potrebbero essere gli stessi. Per evitare rischi è consigliato visitare direttamente i siti tramite segnalibro. Meglio non seguire indicazioni su YouTube o social media.