Da dove avete scaricato 7-zip? Il vostro PC potrebbe essere infetto senza che lo sappiate

Un sito contraffatto che imita il portale ufficiale di 7-Zip sta distribuendo un installer contenente un virus trojan del noto software di compressione. Il dominio "7zip.com", ancora online al momento delle analisi, replica struttura e contenuti del sito legittimo 7-zip.org, ma si tratta di una truffa.

Il caso è emerso dopo la segnalazione di un utente che aveva scaricato il file seguendo un tutorial su YouTube dedicato all'assemblaggio di un PC. L'installer malevolo include il programma autentico di 7-Zip, quindi garantisce le normali funzionalità di compressione, ma integra anche componenti nascosti.

Le analisi tecniche condotte da Malwarebytes hanno individuato tre file principali rilasciati dal pacchetto:

• Uphero.exe, gestore del servizio e loader di aggiornamento
• hero.exe, payload principale con funzioni proxy
• hero.dll, libreria di supporto

I file vengono copiati nel percorso C:\Windows\SysWOW64\hero\. Il malware crea inoltre un servizio Windows con privilegi SYSTEM che garantisce l'esecuzione automatica dei componenti all'avvio del sistema.

Non solo. L'installer modifica le regole del firewall tramite il comando netsh, così da consentire connessioni in ingresso e in uscita ai binari malevoli. Questa configurazione permette al sistema compromesso di comunicare con l'infrastruttura di comando e controllo senza che l'utente si accorga di nulla.

Il malware esegue una profilazione completa del dispositivo tramite Windows Management Instrumentation (WMI) e API di Windows: raccoglie informazioni su hardware, memoria, CPU, storage e rete. I dati vengono inviati al dominio iplogger.org.

Dal punto di vista operativo, hero.exe recupera la configurazione da domini C2 a tema "smshero" e stabilisce connessioni proxy in uscita su porte non standard come 1000 e 1002. I messaggi di controllo risultano offuscati tramite una chiave XOR leggera.

Il traffico passa attraverso l'infrastruttura Cloudflare con comunicazioni HTTPS cifrate TLS. Inoltre, il malware utilizza DNS-over-HTTPS tramite il resolver di Google, tecnica che riduce la visibilità per chi monitora il traffico DNS tradizionale.

Le prime analisi facevano pensare a funzionalità di backdoor. L'approfondimento ha chiarito che lo scopo principale è la creazione di una rete di proxy residenziali. I sistemi infetti vengono arruolati come nodi attraverso i quali terze parti possono instradare traffico, sfruttando l'indirizzo IP della vittima. Questo tipo di infrastruttura viene impiegato per attività come credential stuffing, phishing e diffusione degli stessi malware.

L'operazione non si limita a 7-Zip. Gli esperti hanno individuato installer compromessi anche per HolaVPN, TikTok, WhatsApp e Wire VPN. L'infrastruttura C2 utilizza domini rotanti hero/smshero.

Gli indicatori di compromissione includono domini specifici, percorsi file e indirizzi IP identificati durante le indagini. Il suggerimento degli esperti è sempre di verificare quale sia l'indirizzo originale del portale e magari digitarlo manualmente. A quel punto, salvare nei preferiti la pagina, piuttosto che affidarsi a domini suggeriti nei tutorial e nei risultati sponsorizzati dei motori di ricerca.