Betrug, Bedrohungsinformationen

Gefälschte 7-Zip-Downloads verwandeln Heim-PCs in Proxy-Knoten

von Stefan Dasic | 9. Februar 2026
Trojanisches Pferd

Eine überzeugende Nachahmung der beliebten Website des Archivierungsprogramms 7-Zip verbreitet seit einiger Zeit unbemerkt einen mit einem Trojaner infizierten Installer, der die Computer der Opfer heimlich in private Proxy-Knoten verwandelt.

„Mir ist so übel.“

Ein PC-Bauer wandte sich kürzlich panisch an die Reddit-Community „r/pcmasterrace“, nachdem er festgestellt hatte, dass er 7-Zip von der falschen Website heruntergeladen hatte. Er hatte ein YouTube für einen neuen PC-Bau befolgt, in dem er angewiesen wurde, 7-Zip von 7zip[.]com herunterzuladen, ohne zu wissen, dass das legitime Projekt ausschließlich auf 7-zip.org gehostet wird.

In ihrem Reddit-Beitrag beschrieb der Nutzer, dass er die Datei zunächst auf einem Laptop installiert und später über USB auf einen neu gebauten Desktop übertragen habe. Dabei stieß er wiederholt auf 32-Bit- gegenüber 64-Bit-Fehlern und verzichtete schließlich zugunsten der Windowsintegrierten Extraktionswerkzeuge auf das Installationsprogramm. Fast zwei Wochen später meldete Microsoft Defender eine generische Erkennung auf dem System: Trojan:Win32/Malgent!MSR.

Dieses Beispiel verdeutlicht, wie eine scheinbar geringfügige Verwechslung von Domänen zu einer lang anhaltenden, unbefugten Nutzung eines Systems führen kann, wenn Angreifer sich erfolgreich als vertrauenswürdige Software-Distributoren ausgeben.

Ein trojanisierter Installer, der sich als legitime Software tarnt

Dies ist kein einfacher Fall eines bösartigen Downloads, der auf einer beliebigen Website gehostet wird. Die Betreiber hinter 7zip[.]com verbreiteten über eine ähnliche Domain ein mit einem Trojaner versehenes Installationsprogramm, das neben einer funktionsfähigen Kopie des 7-Zip File Managers auch eine versteckte Malware-Nutzlast enthielt.

Das Installationsprogramm ist mit Authenticode signiert, wobei ein inzwischen widerrufenes Zertifikat verwendet wird, das auf Jozeal Network Technology Co., Limited ausgestellt ist, was ihm eine oberflächliche Legitimität verleiht. Während der Installation wird eine modifizierte Version von 7zfm.exe wird bereitgestellt und funktioniert wie erwartet, wodurch das Misstrauen der Benutzer verringert wird. Parallel dazu werden drei zusätzliche Komponenten stillschweigend entfernt:

  • Uphero.exe– ein Dienstmanager und Update-Lader
  • hero.exe– die primäre Proxy-Nutzlast (Go-kompiliert)
  • hero.dll– eine unterstützende Bibliothek

Alle Komponenten werden geschrieben nach C:\Windows\SysWOW64\hero\, ein privilegiertes Verzeichnis, das wahrscheinlich nicht manuell überprüft wird.

Ein unabhängiger Update-Kanal wurde ebenfalls beobachtet unter update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, was darauf hindeutet, dass die Malware-Nutzlast unabhängig vom Installationsprogramm selbst aktualisiert werden kann.

Missbrauch vertrauenswürdiger Vertriebskanäle

Einer der besorgniserregendsten Aspekte dieser Kampagne ist ihre Abhängigkeit vom Vertrauen Dritter. Der Fall Reddit verdeutlicht, dass YouTube ein unbeabsichtigter Vektor für die Verbreitung von Malware sein können, wenn die Ersteller fälschlicherweise auf 7zip.com statt auf die legitime Domain verweisen.

Dies zeigt, wie Angreifer kleine Fehler in ansonsten harmlosen Content-Ökosystemen ausnutzen können, um Opfer in großem Umfang auf bösartige Infrastrukturen zu lenken.

Ausführungsablauf: vom Installationsprogramm zum persistenten Proxy-Dienst

Die Verhaltensanalyse zeigt eine schnelle und methodische Infektionskette:

1. Dateibereitstellung– Die Nutzlast wird in SysWOW64 installiert, was erhöhte Berechtigungen erfordert und die Absicht einer tiefen Systemintegration signalisiert.

2. Persistenz über Windows—Beide Uphero.exe und hero.exe sind als Windows mit Autostart registriert, die unter Systemrechten ausgeführt werden und somit bei jedem Systemstart ausgeführt werden.

3. Manipulation von Firewall-Regeln—Die Malware ruft auf netsh vorhandene Regeln zu entfernen und neue Regeln für eingehende und ausgehende Daten für seine Binärdateien zu erstellen. Dies soll Störungen des Netzwerkverkehrs reduzieren und nahtlose Payload-Updates unterstützen.

4. Host-Profiling– Mithilfe von WMI und nativen Windows listet die Malware Systemmerkmale wie Hardware-Identifikatoren, Speichergröße, CPU-Anzahl, Festplattenattribute und Netzwerkkonfiguration auf. Die Malware kommuniziert über einen dedizierten Berichtsendpunkt mit iplogger[.]org, was darauf hindeutet, dass sie im Rahmen ihrer Proxy-Infrastruktur Geräte- oder Netzwerk-Metadaten sammelt und meldet.

Funktionales Ziel: Monetarisierung von Wohnraum-Proxys

Während erste Indikatoren auf Backdoor-Funktionen hindeuteten, ergab eine weitere Analyse, dass die Hauptfunktion der Malware in der Proxyware besteht. Der infizierte Host wird als privater Proxy-Knoten registriert, sodass Dritte Datenverkehr über die IP-Adresse des Opfers leiten können.

Die hero.exe Die Komponente ruft Konfigurationsdaten von rotierenden „smshero“-Themen-Befehls- und Kontrolldomänen ab und baut dann ausgehende Proxy-Verbindungen auf nicht standardmäßigen Ports wie 1000 und 1002 auf. Die Verkehrsanalyse zeigt ein leichtgewichtiges XOR-codiertes Protokoll (Schlüssel 0x70) verwendet, um Kontrollmeldungen zu verschleiern.

Diese Infrastruktur entspricht bekannten Proxy-Diensten für Privathaushalte, bei denen der Zugriff auf echte Verbraucher-IP-Adressen für Betrug, Scraping, Werbemissbrauch oder Anonymitätswäsche verkauft wird.

Gemeinsam genutzte Tools für mehrere gefälschte Installationsprogramme

Die 7-Zip-Identitätsfälschung scheint Teil einer umfassenderen Operation zu sein. Verwandte Binärdateien wurden unter Namen wie upHola.exe, upTiktok, upWhatsapp und upWire, die alle identische Taktiken, Techniken und Verfahren anwenden:

  • Bereitstellung in SysWOW64
  • Persistenz von Windows
  • Manipulation von Firewall-Regeln über netsh
  • Verschlüsselter HTTPS-C2-Datenverkehr

Eingebettete Zeichenfolgen, die auf VPN Proxy-Marken verweisen, deuten auf ein einheitliches Backend hin, das mehrere Vertriebsfronten unterstützt.

Rotierende Infrastruktur und verschlüsselter Transport

Die Speicheranalyse deckte einen großen Pool fest codierter Befehls- und Kontrolldomänen auf, die hero und smshero Namenskonventionen. Die aktive Auflösung während der Sandbox-Ausführung zeigte, dass der Datenverkehr über die Cloudflare-Infrastruktur mit TLS-verschlüsselten HTTPS-Sitzungen geleitet wurde.

Die Malware nutzt außerdem DNS-over-HTTPS über den Resolver von Google, wodurch die Sichtbarkeit für herkömmliche DNS-Überwachung verringert und die netzwerkbasierte Erkennung erschwert wird.

Funktionen zur Umgehung und Anti-Analyse

Die Malware umfasst mehrere Ebenen von Sandbox- und Analyseumgehung:

  • Erkennung virtueller Maschinen für VMware, VirtualBox, QEMU und Parallels
  • Anti-Debugging-Prüfungen und Laden verdächtiger Debugger-DLLs
  • Laufzeit-API-Auflösung und PEB-Prüfung
  • Prozessaufzählung, Registrierungssuche und Umgebungsprüfung

Die kryptografische Unterstützung ist umfangreich und umfasst AES, RC4, Camellia, Chaskey, XOR-Verschlüsselung und Base64, was auf eine verschlüsselte Konfigurationsverarbeitung und Verkehrsschutz hindeutet.

Defensive Führung

Jedes System, auf dem Installationsprogramme von 7zip.com ausgeführt wurden, sollte als kompromittiert betrachtet werden. Diese Malware etabliert zwar eine Persistenz auf SYSTEM-Ebene und ändert Firewall-Regeln, aber seriöse Sicherheitssoftware kann die schädlichen Komponenten effektiv erkennen und entfernen. Malwarebytes in der Lage, bekannte Varianten dieser Bedrohung vollständig zu beseitigen und ihre Persistenzmechanismen rückgängig zu machen. In hochriskanten oder stark genutzten Systemen entscheiden sich einige Benutzer möglicherweise dennoch für eine vollständige Neuinstallation des Betriebssystems, um absolute Sicherheit zu gewährleisten, dies ist jedoch nicht in allen Fällen unbedingt erforderlich.

Benutzer und Verteidiger sollten:

  • Überprüfen Sie die Softwarequellen und setzen Sie Lesezeichen für offizielle Projektdomänen.
  • Behandeln Sie unerwartete Code-Signing-Identitäten mit Skepsis.
  • Überwachen Sie unbefugte Windows und Änderungen an Firewall-Regeln.
  • Bekannte C2-Domänen und Proxy-Endpunkte am Netzwerkrand blockieren

Forscherzuordnung und Community-Analyse

Diese Untersuchung wäre ohne die Arbeit unabhängiger Sicherheitsforscher nicht möglich gewesen, die über oberflächliche Indikatoren hinausgingen und den wahren Zweck dieser Malware-Familie identifizierten.

  • Luke Acha lieferte die erste umfassende Analyse, die zeigte, dass die Uphero/Hero-Malware eher als Proxyware für Privatanwender denn als herkömmliche Backdoor fungiert. In seiner Arbeit dokumentierte er das Proxy-Protokoll, die Verkehrsmuster und das Monetarisierungsmodell und stellte eine Verbindung zwischen dieser Kampagne und einer umfassenderen Operation her, die er „upStage Proxy“ nannte. Lukes vollständiger Bericht ist in seinem Blog verfügbar.
  • s1dhy erweiterte diese Analyse, indem er das benutzerdefinierte XOR-basierte Kommunikationsprotokoll umkehrte und entschlüsselte, das Proxy-Verhalten durch Paketerfassungen validierte und mehrere Proxy-Endpunkte über die Geolokalisierungen der Opfer hinweg korrelierte. Technische Hinweise und Ergebnisse wurden öffentlich auf X Twitter) geteilt.
  • Andrew Danis trug mit zusätzlichen Infrastrukturanalysen und Clustering dazu bei, den gefälschten 7-Zip-Installer mit verwandten Proxyware-Kampagnen in Verbindung zu bringen, die andere Softwaremarken missbrauchen.

Weitere technische Validierungen und dynamische Analysen wurden von Forschern von RaichuLab auf Qiita und WizSafe Security auf IIJ veröffentlicht.

Ihre gemeinsame Arbeit unterstreicht die Bedeutung offener, gemeinschaftsorientierter Forschung für die Aufdeckung langjähriger Missbrauchskampagnen, die eher auf Vertrauen und Irreführung als auf Exploits setzen.

Abschließende Gedanken

Diese Kampagne zeigt, wie effektiv Markenimitationen in Kombination mit technisch ausgereifter Malware über längere Zeiträume hinweg unentdeckt bleiben können. Indem sie das Vertrauen der Nutzer missbrauchen, anstatt Software-Schwachstellen auszunutzen, umgehen Angreifer viele herkömmliche Sicherheitsvorkehrungen und verwandeln alltägliche Utility-Downloads in eine langlebige Monetarisierungsinfrastruktur.

Malwarebytes und blockiert bekannte Varianten dieser Proxyware-Familie und die damit verbundene Infrastruktur.

Indikatoren für Kompromisse (IOCs)

Dateipfade

  • C:\Windows\SysWOW64\hero\Uphero.exe
  • C:\Windows\SysWOW64\hero\hero.exe
  • C:\Windows\SysWOW64\hero\hero.dll

Datei-Hashes (SHA-256)

  • e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
  • b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 (hero.exe)
  • 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 (hero.dll)

Netzwerkindikatoren

Domains:

  • soc.hero-sms[.]co
  • neo.herosms[.]co
  • flux.smshero[.]co
  • nova.smshero[.]ai
  • apex.herosms[.]ai
  • spark.herosms[.]io
  • zest.hero-sms[.]ai
  • prime.herosms[.]vip
  • vivid.smshero[.]vip
  • mint.smshero[.]com
  • pulse.herosms[.]cc
  • glide.smshero[.]cc
  • svc.ha-teams.office[.]com
  • iplogger[.]org

Beobachtete IPs (Cloudflare-Frontend):

  • 104.21.57.71
  • 172.67.160.241

Hostbasierte Indikatoren

  • Windows mit Bildpfaden, die auf C:\Windows\SysWOW64\hero\
  • Firewall-Regeln mit den Namen „Uphero“ oder „hero“ (eingehend und ausgehend)
  • Mutex: Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Wir berichten nicht nur über Bedrohungen - wir beseitigen sie

Cybersecurity-Risiken sollten nie über eine Schlagzeile hinausgehen. Laden Sie noch heute Malwarebytes herunter, um Bedrohungen von Ihren Geräten fernzuhalten.

Über den Autor

Stefan Dasic

Stefan Dasic

Stefan ist ein leidenschaftlicher Anhänger von Antiviren-Lösungen und hat sich schon früh mit Malware-Tests und der Qualitätssicherung von AV-Produkten beschäftigt. Als Teil des Malwarebytes widmet sich Stefan dem Schutz der Kunden und der Gewährleistung ihrer Sicherheit.

NEUESTE ARTIKEL

AI
Eine Hand greift nach unten, um ein Sternchen aus einem geschriebenen Passwort zu nehmen.

KI-generierte Passwörter sind ein Sicherheitsrisiko.

Februar 19, 2026

KI-generierte Passwörter sind „sehr vorhersehbar“ und nicht wirklich zufällig, sodass sie für Cyberkriminelle leichter zu knacken sind.

Nachrichten
Tenga-Logo

Der Hersteller von Intimprodukten Tenga hat Kundendaten verloren.

Februar 19, 2026

Ein Phishing-Angriff auf einen Mitarbeiter von Tenga könnte US-Kundendaten offengelegt haben. Kunden sollten auf Phishing-Versuche mit Sextortion-Thematik achten.

Datenschutzverletzungen
Betterment-Logo

Die Datenpanne bei Betterment könnte schlimmer sein als gedacht

Februar 18, 2026

Dieser Verstoß scheint nun weitaus schwerwiegender zu sein. Die durchgesickerten Daten enthalten umfangreiche persönliche und finanzielle Details, die Phisher nutzen könnten.

Symbol für Mitwirkende

Mitwirkende

Symbol für das Bedrohungszentrum

Bedrohungszentrum

Podcasts-Symbol

Podcast

Glossar-Symbol

Glossar

Symbol für Betrug

Betrug