7-Zip es una herramienta de código abierto utilizada para comprimir y extraer archivos. Muchas personas lo usan en lugar de WinRAR para reducir el tamaño de los archivos y hacer que sean más fáciles de administrar.
Aprovechando la popularidad de este software, unos desaprensivos iniciaron una campaña engañosa dirigida a usuarios desprevenidos, utilizando una versión modificada de este programa.
El objetivo era transformar silenciosamente los ordenadores domésticos en nodos proxy residenciales que permiten a terceros enrutar el tráfico a través de la dirección IP de la víctima.
Para ello registraron un dominio con el nombre de (7zip.com), que imitaba al sitio web legítimo 7-zip.org, con el fin de confundir a las personas para que descargasen una copia completamente operativa de 7-Zip.
Pero el código fuente del programa venía con tres archivos maliciosos de propina:
- Uphero.exe – administrador de servicios y actualizaciones.
- hero.exe – motor proxy principal.
- hero.dl – biblioteca de apoyo.
El instalador también llevaba una firma Authenticode emitida a nombre de Jozeal Network Technology Co., Limited.
Esta firma digital inicialmente proporcionó un falso sentido de legitimidad, ayudando al malware a evadir las sospechas.
En este sentido, pasaron casi dos semanas antes de que Microsoft Defender marcara la infección como un troyano genérico.
Una vez implementado, el malware establecía una profunda persistencia registrando Uphero.exe y hero.exe como servicios de Windows que se iniciaban automáticamente con privilegios a nivel de sistema en cada arranque.
También modificaba las reglas de firewall para permitir la comunicación entrante y saliente.
Los criminales utilizaban estas redes para:
- Ataques de Relleno de credenciales.
- Campañas de Phishing .
- Publicidad fraudulenta.
- Distribución de malware .
En caso de ser detectados la IP que aparecería sería la de la víctima en lugar de la del operador real. Tu conexion a Internet se convierte en su Infraestructura.
Ten cuidado al descargar software
La persona que reportó la descarga de este 7zip troyanizado terminó en el sitio web malicioso después de seguir un enlace de un comentario en un tutorial de YouTube.
En este sentido, los atacantes pueden explotar las redes sociales y otros distribuidores de contenido benignos para perpetrar sus ataques.
Por lo tanto, antes de descargar nada, verifica las fuentes del software y dirígete solamente a las URL oficiales de cada proyecto.
Cualquiera que haya ejecutado los instaladores de 7zip[.com] debería considerar su sistema como comprometido.
Esta campaña se ha extendido más allá de 7-Zip.
Se han encontrado instaladores troyanizados para otras aplicaciones populares como servicios VPN y herramientas de mensajería, como por ejemplo Hola VPN, Tiktok, WhatsApp y Wire.
