Escroqueries, renseignements sur les menaces

De faux téléchargements 7-Zip transforment les ordinateurs personnels en nœuds proxy

par Stefan Dasic | 9 février 2026
Cheval de Troie

Un site ressemblant de manière convaincante au célèbre site d'archivage 7-Zip diffuse depuis quelque temps déjà un programme d'installation contenant un cheval de Troie qui transforme silencieusement les ordinateurs des victimes en nœuds proxy résidentiels, et ce, au vu et au su de tous.

« J'ai vraiment mal au ventre. »

Un assembleur de PC s'est récemment tourné vers la communauté r/pcmasterrace de Reddit, paniqué après avoir réalisé qu'il avait téléchargé 7-Zip depuis le mauvais site web. En suivant un YouTube pour un nouvel assemblage, il lui avait été demandé de télécharger 7-Zip depuis 7zip[.]com, sans savoir que le projet légitime est hébergé exclusivement sur 7-zip.org.

Dans son message publié sur Reddit, l'utilisateur a expliqué avoir d'abord installé le fichier sur un ordinateur portable, puis l'avoir transféré via USB vers un ordinateur de bureau nouvellement assemblé. Il a rencontré à plusieurs reprises des erreurs liées à la compatibilité entre les versions 32 bits et 64 bits et a finalement abandonné le programme d'installation au profit des outils d'extraction intégrés Windows. Près de deux semaines plus tard, Microsoft Defender a émis une alerte sur le système avec une détection générique : Trojan:Win32/Malgent!MSR.

Cette expérience illustre comment une confusion apparemment mineure au niveau du domaine peut entraîner une utilisation non autorisée et prolongée d'un système lorsque des pirates parviennent à se faire passer pour des distributeurs de logiciels de confiance.

Un programme d'installation trojanisé se faisant passer pour un logiciel légitime

Il ne s'agit pas simplement d'un téléchargement malveillant hébergé sur un site aléatoire. Les opérateurs derrière 7zip[.]com ont distribué un programme d'installation trojanisé via un domaine similaire, fournissant une copie fonctionnelle du gestionnaire de fichiers 7-Zip ainsi qu'une charge utile malveillante dissimulée.

Le programme d'installation est signé Authenticode à l'aide d'un certificat désormais révoqué délivré à Jozeal Network Technology Co., Limited, ce qui lui confère une légitimité superficielle. Pendant l'installation, une version modifiée de 7zfm.exe est déployé et fonctionne comme prévu, réduisant ainsi la méfiance des utilisateurs. En parallèle, trois composants supplémentaires sont discrètement supprimés :

  • Uphero.exe— gestionnaire de services et chargeur de mises à jour
  • hero.exe— la charge utile principale du proxy (compilée en Go)
  • hero.dll— bibliothèque de support

Tous les composants sont écrits dans C:\Windows\SysWOW64\hero\, un répertoire privilégié qui a peu de chances d'être inspecté manuellement.

Un canal de mise à jour indépendant a également été observé à l'adresse update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, ce qui indique que la charge utile du logiciel malveillant peut être mise à jour indépendamment du programme d'installation lui-même.

Abus des canaux de distribution de confiance

L'un des aspects les plus préoccupants de cette campagne est qu'elle repose sur la confiance accordée à des tiers. L'affaire Reddit met en évidence le rôle involontaire YouTube dans la diffusion de logiciels malveillants, les créateurs renvoyant par erreur vers 7zip.com au lieu du domaine légitime.

Cela montre comment les pirates peuvent exploiter de petites erreurs dans des écosystèmes de contenu par ailleurs inoffensifs pour diriger les victimes vers des infrastructures malveillantes à grande échelle.

Flux d'exécution : de l'installateur au service proxy persistant

L'analyse comportementale montre une chaîne d'infection rapide et méthodique :

1. Déploiement de fichiers: la charge utile est installée dans SysWOW64, ce qui nécessite des privilèges élevés et indique une intention d'intégration profonde dans le système.

2. Persistance via Windows—Les deux Uphero.exe et hero.exe sont enregistrés en tant que Windows à démarrage automatique s'exécutant sous les privilèges système, garantissant ainsi leur exécution à chaque démarrage.

3. Manipulation des règles du pare-feu—Le logiciel malveillant invoque netsh supprimer les règles existantes et créer de nouvelles règles d'autorisation entrantes et sortantes pour ses fichiers binaires. Cela vise à réduire les interférences avec le trafic réseau et à prendre en charge les mises à jour transparentes des charges utiles.

4. Profilage de l'hôte— À l'aide de WMI et Windows natives Windows , le logiciel malveillant répertorie les caractéristiques du système, notamment les identifiants matériels, la taille de la mémoire, le nombre de processeurs, les attributs du disque et la configuration réseau. Le logiciel malveillant communique avec iplogger[.]org via un point de terminaison dédié, ce qui suggère qu'il collecte et rapporte les métadonnées des appareils ou du réseau dans le cadre de son infrastructure proxy.

Objectif fonctionnel : monétisation des proxys résidentiels

Alors que les premiers indicateurs suggéraient des capacités de type « porte dérobée », une analyse plus approfondie a révélé que la fonction principale du logiciel malveillant était celle d'un proxyware. L'hôte infecté est enregistré comme nœud proxy résidentiel, ce qui permet à des tiers d'acheminer le trafic via l'adresse IP de la victime.

Le hero.exe Le composant récupère les données de configuration à partir de domaines de commande et de contrôle rotatifs sur le thème « smshero », puis établit des connexions proxy sortantes sur des ports non standard tels que 1000 et 1002. L'analyse du trafic révèle un protocole léger codé en XOR (clé 0x70) utilisé pour masquer les messages de contrôle.

Cette infrastructure est similaire aux services proxy résidentiels connus, où l'accès aux adresses IP réelles des consommateurs est vendu à des fins de fraude, de scraping, d'abus publicitaire ou de blanchiment d'anonymat.

Outils partagés entre plusieurs faux programmes d'installation

L'usurpation d'identité de 7-Zip semble faire partie d'une opération plus vaste. Des fichiers binaires associés ont été identifiés sous des noms tels que upHola.exe, upTiktok, upWhatsapp et upWire, qui partagent tous des tactiques, des techniques et des procédures identiques :

  • Déploiement vers SysWOW64
  • Persistance Windows
  • Manipulation des règles du pare-feu via netsh
  • Trafic C2 HTTPS crypté

Les chaînes intégrées faisant référence à des marques VPN de proxy suggèrent un backend unifié prenant en charge plusieurs fronts de distribution.

Infrastructure rotative et transport crypté

L'analyse de la mémoire a révélé un vaste ensemble de domaines de commande et de contrôle codés en dur utilisant hero et smshero Conventions de nommage. La résolution active pendant l'exécution du bac à sable a montré que le trafic était acheminé via l'infrastructure Cloudflare avec des sessions HTTPS cryptées TLS.

Le logiciel malveillant utilise également le protocole DNS-over-HTTPS via le résolveur de Google, ce qui réduit la visibilité pour la surveillance DNS traditionnelle et complique la détection basée sur le réseau.

Fonctionnalités d'évasion et d'anti-analyse

Le logiciel malveillant intègre plusieurs couches de sandbox et d'évasion d'analyse :

  • Détection des machines virtuelles ciblant VMware, VirtualBox, QEMU et Parallels
  • Contrôles anti-débogage et chargement suspect de DLL de débogage
  • Résolution de l'API d'exécution et inspection du PEB
  • Énumération des processus, analyse du registre et inspection de l'environnement

La prise en charge cryptographique est étendue, incluant AES, RC4, Camellia, Chaskey, le codage XOR et Base64, ce qui suggère une gestion cryptée des configurations et une protection du trafic.

Conseils défensifs

Tout système ayant exécuté des programmes d'installation provenant de 7zip.com doit être considéré comme compromis. Bien que ce logiciel malveillant établisse une persistance au niveau SYSTÈME et modifie les règles du pare-feu, les logiciels de sécurité réputés peuvent détecter et supprimer efficacement les composants malveillants. Malwarebytes capable d'éradiquer complètement les variantes connues de cette menace et d'inverser ses mécanismes de persistance. Dans les systèmes à haut risque ou très utilisés, certains utilisateurs peuvent encore choisir de réinstaller complètement le système d'exploitation pour une sécurité absolue, mais cela n'est pas strictement nécessaire dans tous les cas.

Les utilisateurs et les défenseurs doivent :

  • Vérifiez les sources logicielles et ajoutez les domaines officiels du projet à vos favoris.
  • Traitez les identités de signature de code inattendues avec scepticisme.
  • Surveillez Windows non autorisés et les modifications apportées aux règles du pare-feu.
  • Bloquez les domaines C2 connus et les points de terminaison proxy à la périphérie du réseau.

Attribution des chercheurs et analyse communautaire

Cette enquête n'aurait pas été possible sans le travail de chercheurs indépendants en sécurité qui sont allés au-delà des indicateurs superficiels et ont identifié le véritable objectif de cette famille de logiciels malveillants.

  • Luke Acha a fourni la première analyse complète montrant que le logiciel malveillant Uphero/hero fonctionne comme un proxy résidentiel plutôt que comme une porte dérobée traditionnelle. Son travail a documenté le protocole proxy, les modèles de trafic et le modèle de monétisation, et a relié cette campagne à une opération plus large qu'il a baptisée upStage Proxy. Le rapport complet de Luke est disponible sur son blog.
  • s1dhy a approfondi cette analyse en inversant et en décodant le protocole de communication personnalisé basé sur XOR, en validant le comportement du proxy grâce à la capture de paquets et en corrélant plusieurs points de terminaison proxy à travers les géolocalisations des victimes. Les notes techniques et les conclusions ont été rendues publiques sur X Twitter).
  • Andrew Danis a apporté une analyse supplémentaire de l'infrastructure et du regroupement, contribuant ainsi à relier le faux programme d'installation 7-Zip à des campagnes de proxyware connexes abusant d'autres marques de logiciels.

Une validation technique supplémentaire et une analyse dynamique ont été publiées par les chercheurs de RaichuLab sur Qiita et WizSafe Security sur IIJ.

Leur travail collectif souligne l'importance d'une recherche ouverte et communautaire pour mettre au jour les campagnes d'abus de longue date qui reposent sur la confiance et la désinformation plutôt que sur des exploits.

Conclusion

Cette campagne démontre à quel point l'usurpation d'identité d'une marque, combinée à un logiciel malveillant techniquement performant, peut fonctionner sans être détectée pendant de longues périodes. En abusant de la confiance des utilisateurs plutôt qu'en exploitant les vulnérabilités des logiciels, les pirates contournent de nombreuses hypothèses de sécurité traditionnelles, transformant les téléchargements quotidiens d'utilitaires en une infrastructure de monétisation durable.

Malwarebytes et bloque les variantes connues de cette famille de logiciels proxy et l'infrastructure qui y est associée.

Indicateurs de compromis (IOC)

Chemins d'accès aux fichiers

  • C:\Windows\SysWOW64\hero\Uphero.exe
  • C:\Windows\SysWOW64\hero\hero.exe
  • C:\Windows\SysWOW64\hero\hero.dll

Hachages de fichiers (SHA-256)

  • e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
  • b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 (hero.exe)
  • 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 (hero.dll)

Indicateurs réseau

Domaines :

  • soc.hero-sms[.]co
  • neo.herosms[.]co
  • flux.smshero[.]co
  • nova.smshero[.]ai
  • apex.herosms[.]ai
  • spark.herosms[.]io
  • zest.hero-sms[.]ai
  • prime.herosms[.]vip
  • vivid.smshero[.]vip
  • mint.smshero[.]com
  • pulse.herosms[.]cc
  • glide.smshero[.]cc
  • svc.ha-teams.office[.]com
  • iplogger[.]org

Adresses IP observées (Cloudflare-fronted) :

  • 104.21.57.71
  • 172.67.160.241

Indicateurs basés sur l'hôte

  • Windows avec chemins d'accès aux images pointant vers C:\Windows\SysWOW64\hero\
  • Règles de pare-feu nommées Uphero ou hero (entrantes et sortantes)
  • Mutex : Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Nous ne nous contentons pas de signaler les menaces, nous les éliminons.

Les risques de cybersécurité ne devraient jamais se propager au-delà d'un titre. Éliminez les menaces de vos appareils en téléchargeant Malwarebytes dès aujourd'hui.

À propos de l'auteur

Stefan Dasic

Stefan Dasic

Passionné par les solutions antivirus, Stefan a été impliqué très tôt dans les tests de logiciels malveillants et l'assurance qualité des produits AV. Au sein de l'équipe Malwarebytes , Stefan se consacre à la protection des clients et à la garantie de leur sécurité.

DERNIERS ARTICLES

AI
Une main se tend pour saisir un astérisque d'un mot de passe écrit.

Les mots de passe générés par l'IA constituent un risque pour la sécurité.

Février 19, 2026

Les mots de passe générés par l'IA sont « hautement prévisibles » et ne sont pas véritablement aléatoires, ce qui les rend plus faciles à pirater pour les cybercriminels.

Actualités
Logo Tenga

Le fabricant de produits intimes Tenga a divulgué les données de ses clients

Février 19, 2026

Une attaque de phishing visant un employé de Tenga pourrait avoir exposé les données de clients américains. Les clients doivent être vigilants face aux tentatives de phishing ayant pour thème le chantage sexuel.

Violations de données
Logo Betterment

La violation des données de Betterment pourrait être plus grave que prévu

Février 18, 2026

Cette violation semble désormais beaucoup plus grave. Les données divulguées comprennent des informations personnelles et financières détaillées que les hameçonneurs pourraient utiliser.

Icône des contributeurs

Les contributeurs

Icône du centre des menaces

Centre des menaces

Icône Podcasts

Podcast

Icône de glossaire

Glossaire

Icône d'escroquerie

Escroqueries