Truffe, informazioni sulle minacce

I download falsi di 7-Zip stanno trasformando i PC domestici in nodi proxy

di Stefan Dasic | 9 febbraio 2026
Cavallo di Troia

Un sito molto simile a quello del popolare programma di archiviazione 7-Zip ha distribuito un programma di installazione contenente un trojan che converte silenziosamente i computer delle vittime in nodi proxy residenziali, rimanendo nascosto alla vista per un certo periodo di tempo.

"Ho la nausea"

Un assemblatore di PC si è recentemente rivolto alla community r/pcmasterrace di Reddit in preda al panico dopo aver realizzato di aver scaricato 7‑Zip dal sito web sbagliato. Seguendo un YouTube per un nuovo assemblaggio, gli era stato chiesto di download da 7zip[.]com, senza sapere che il progetto legittimo è ospitato esclusivamente su 7-zip.org.

Nel suo post su Reddit, l'utente ha descritto di aver installato il file prima su un laptop e poi di averlo trasferito tramite USB su un desktop di nuova costruzione. Ha riscontrato ripetuti errori relativi alla compatibilità tra 32 bit e 64 bit e alla fine ha abbandonato il programma di installazione a favore degli strumenti di estrazione integrati Windows. Quasi due settimane dopo, Microsoft Defender ha segnalato un avviso sul sistema con un rilevamento generico: Trojan:Win32/Malgent!MSR.

L'esperienza illustra come un errore apparentemente minore nella configurazione dei domini possa portare a un uso prolungato e non autorizzato di un sistema quando gli aggressori riescono a mascherarsi come distributori di software affidabili.

Un programma di installazione trojanizzato che si maschera da software legittimo

Non si tratta di un semplice caso di download dannoso download su un sito casuale. Gli operatori dietro 7zip[.]com hanno distribuito un programma di installazione trojanizzato tramite un dominio simile, fornendo una copia funzionante di 7‑Zip File Manager insieme a un payload malware nascosto.

Il programma di installazione è firmato con Authenticode utilizzando un certificato ora revocato rilasciato a Jozeal Network Technology Co., Limited, che gli conferisce una legittimità superficiale. Durante l'installazione, una versione modificata di 7zfm.exe viene distribuito e funziona come previsto, riducendo i sospetti degli utenti. Parallelamente, vengono eliminati silenziosamente tre componenti aggiuntivi:

  • Uphero.exe: un gestore di servizi e un programma di caricamento degli aggiornamenti
  • hero.exe: il payload proxy principale (compilato in Go)
  • hero.dll: una libreria di supporto

Tutti i componenti sono scritti su C:\Windows\SysWOW64\hero\, una directory privilegiata che difficilmente verrà ispezionata manualmente.

È stato inoltre osservato un canale di aggiornamento indipendente all'indirizzo update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, indicando che il payload del malware può essere aggiornato indipendentemente dal programma di installazione stesso.

Abuso dei canali di distribuzione affidabili

Uno degli aspetti più preoccupanti di questa campagna è il suo affidamento alla fiducia di terzi. Il caso Reddit evidenzia YouTube come vettore involontario di distribuzione di malware, in cui i creatori fanno riferimento in modo errato a 7zip.com invece che al dominio legittimo.

Questo dimostra come gli aggressori possano sfruttare piccoli errori in ecosistemi di contenuti altrimenti innocui per convogliare le vittime verso infrastrutture dannose su larga scala.

Flusso di esecuzione: dall'installatore al servizio proxy persistente

L'analisi comportamentale mostra una catena di contagio rapida e metodica:

1. Distribuzione dei file: il payload viene installato in SysWOW64, richiedendo privilegi elevati e segnalando l'intenzione di una profonda integrazione nel sistema.

2. Persistenza tramite Windows—Entrambi Uphero.exe e hero.exe sono registrati come Windows ad avvio automatico eseguiti con privilegi di sistema, garantendo l'esecuzione ad ogni avvio.

3. Manipolazione delle regole del firewall—Il malware richiama netsh per rimuovere le regole esistenti e creare nuove regole di autorizzazione in entrata e in uscita per i suoi file binari. Ciò ha lo scopo di ridurre le interferenze con il traffico di rete e supportare aggiornamenti continui del payload.

4. Profilazione dell'host: utilizzando WMI e Windows native Windows , il malware enumera le caratteristiche del sistema, inclusi gli identificatori hardware, la dimensione della memoria, il numero di CPU, gli attributi del disco e la configurazione di rete. Il malware comunica con iplogger[.]org tramite un endpoint di reporting dedicato, suggerendo che raccoglie e segnala i metadati del dispositivo o della rete come parte della sua infrastruttura proxy.

Obiettivo funzionale: monetizzazione dei proxy residenziali

Sebbene gli indicatori iniziali suggerissero funzionalità di tipo backdoor, ulteriori analisi hanno rivelato che la funzione principale del malware è quella di proxyware. L'host infetto viene registrato come nodo proxy residenziale, consentendo a terzi di instradare il traffico attraverso l'indirizzo IP della vittima.

Il hero.exe Il componente recupera i dati di configurazione dai domini di comando e controllo a rotazione con tema "smshero", quindi stabilisce connessioni proxy in uscita su porte non standard come 1000 e 1002. L'analisi del traffico mostra un protocollo leggero codificato con XOR (chiave 0x70) utilizzato per oscurare i messaggi di controllo.

Questa infrastruttura è coerente con i noti servizi proxy residenziali, in cui l'accesso agli indirizzi IP reali dei consumatori viene venduto a fini di frode, scraping, abuso pubblicitario o riciclaggio dell'anonimato.

Strumenti condivisi tra più programmi di installazione falsi

L'impersonificazione di 7‑Zip sembra essere parte di un'operazione più ampia. I file binari correlati sono stati identificati con nomi quali upHola.exe, upTiktok, upWhatsapp e upWire, che condividono tutti tattiche, tecniche e procedure identiche:

  • Distribuzione su SysWOW64
  • Persistenza Windows
  • Manipolazione delle regole del firewall tramite netsh
  • Traffico C2 HTTPS crittografato

Le stringhe incorporate che fanno riferimento a marchi VPN proxy suggeriscono un backend unificato che supporta più fronti di distribuzione.

Infrastruttura rotante e trasporto crittografato

L'analisi della memoria ha rivelato un ampio pool di domini di comando e controllo hardcoded che utilizzano hero e smshero Convenzioni di denominazione. La risoluzione attiva durante l'esecuzione della sandbox ha mostrato che il traffico veniva instradato attraverso l'infrastruttura Cloudflare con sessioni HTTPS crittografate TLS.

Il malware utilizza anche DNS-over-HTTPS tramite il resolver di Google, riducendo la visibilità del monitoraggio DNS tradizionale e complicando il rilevamento basato sulla rete.

Funzionalità di evasione e anti-analisi

Il malware incorpora diversi livelli di sandbox e di elusione dell'analisi:

  • Rilevamento delle macchine virtuali VMware, VirtualBox, QEMU e Parallels
  • Controlli anti-debugging e caricamento di DLL di debugger sospette
  • Risoluzione API runtime e ispezione PEB
  • Enumerazione dei processi, analisi del registro e ispezione dell'ambiente

Il supporto crittografico è ampio e include AES, RC4, Camellia, Chaskey, codifica XOR e Base64, suggerendo la gestione della configurazione crittografata e la protezione del traffico.

Guida difensiva

Qualsiasi sistema che abbia eseguito programmi di installazione provenienti da 7zip.com deve essere considerato compromesso. Sebbene questo malware stabilisca una persistenza a livello di SISTEMA e modifichi le regole del firewall, i software di sicurezza affidabili sono in grado di rilevare e rimuovere efficacemente i componenti dannosi. Malwarebytes in grado di eliminare completamente le varianti note di questa minaccia e di invertire i suoi meccanismi di persistenza. In sistemi ad alto rischio o molto utilizzati, alcuni utenti potrebbero comunque scegliere di reinstallare completamente il sistema operativo per avere una garanzia assoluta, ma non è strettamente necessario in tutti i casi.

Gli utenti e i difensori dovrebbero:

  • Verifica le fonti del software e aggiungi ai preferiti i domini ufficiali del progetto
  • Trattate con scetticismo le identità di firma del codice inattese
  • Monitoraggio delle modifiche non autorizzate Windows e alle regole del firewall
  • Blocca i domini C2 noti e gli endpoint proxy sul perimetro della rete

Attribuzione dei ricercatori e analisi della comunità

Questa indagine non sarebbe stata possibile senza il lavoro di ricercatori indipendenti nel campo della sicurezza che sono andati oltre gli indicatori superficiali e hanno identificato il vero scopo di questa famiglia di malware.

  • Luke Acha ha fornito la prima analisi completa che dimostra che il malware Uphero/hero funziona come un proxyware residenziale piuttosto che come una backdoor tradizionale. Il suo lavoro ha documentato il protocollo proxy, i modelli di traffico e il modello di monetizzazione, collegando questa campagna a un'operazione più ampia che ha soprannominato upStage Proxy. Il resoconto completo di Luke è disponibile sul suo blog.
  • s1dhy ha approfondito questa analisi invertendo e decodificando il protocollo di comunicazione personalizzato basato su XOR, convalidando il comportamento del proxy attraverso l'acquisizione dei pacchetti e correlando più endpoint proxy tra le geolocalizzazioni delle vittime. Le note tecniche e i risultati sono stati condivisi pubblicamente su X Twitter).
  • Andrew Danis ha contribuito con ulteriori analisi dell'infrastruttura e clustering, aiutando a collegare il falso programma di installazione 7-Zip a campagne proxyware correlate che abusavano di altri marchi di software.

Ulteriori validazioni tecniche e analisi dinamiche sono state pubblicate dai ricercatori di RaichuLab su Qiita e WizSafe Security su IIJ.

Il loro lavoro collettivo sottolinea l'importanza della ricerca aperta e guidata dalla comunità per smascherare campagne di abuso di lunga durata che si basano sulla fiducia e sulla disinformazione piuttosto che sugli exploit.

Considerazioni finali

Questa campagna dimostra quanto possa essere efficace l'usurpazione dell'identità di un marchio, combinata con malware tecnicamente avanzato, per operare senza essere rilevata per lunghi periodi. Sfruttando la fiducia degli utenti piuttosto che le vulnerabilità del software, gli aggressori aggirano molte delle tradizionali misure di sicurezza, trasformando i download di utility di uso quotidiano in infrastrutture di monetizzazione di lunga durata.

Malwarebytes e blocca le varianti note di questa famiglia di proxyware e la relativa infrastruttura.

Indicatori di compromesso (IOC)

Percorsi dei file

  • C:\Windows\SysWOW64\hero\Uphero.exe
  • C:\Windows\SysWOW64\hero\hero.exe
  • C:\Windows\SysWOW64\hero\hero.dll

Hash dei file (SHA-256)

  • e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
  • b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 (eroe.exe)
  • 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 (hero.dll)

Indicatori di rete

Domini:

  • soc.hero-sms[.]co
  • neo.herosms[.]co
  • flux.smshero[.]co
  • nova.smshero[.]ai
  • apex.herosms[.]ai
  • spark.herosms[.]io
  • zest.hero-sms[.]ai
  • prime.herosms[.]vip
  • vivid.smshero[.]vip
  • mint.smshero[.]com
  • pulse.herosms[.]cc
  • glide.smshero[.]cc
  • svc.ha-teams.office[.]com
  • iplogger[.]org

IP osservati (Cloudflare-fronted):

  • 104.21.57.71
  • 172.67.160.241

Indicatori basati sull'host

  • Windows con percorsi immagine che puntano a C:\Windows\SysWOW64\hero\
  • Regole firewall denominate Uphero o hero (in entrata e in uscita)
  • Mutex: Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Non ci limitiamo a segnalare le minacce, ma le eliminiamo.

I rischi per la sicurezza informatica non dovrebbero mai diffondersi al di là di un titolo di giornale. Tenete le minacce lontane dai vostri dispositivi scaricando Malwarebytes oggi stesso.

Informazioni sull'autore

Stefan Dasic

Stefan Dasic

Appassionato di soluzioni antivirus, Stefan si è occupato di test di malware e di QA di prodotti AV fin da giovane. Come parte del team di Malwarebytes , Stefan si dedica alla protezione dei clienti e alla loro sicurezza.

ULTIMI ARTICOLI

AI
Una mano si abbassa per afferrare un asterisco da una password scritta.

Le password generate dall'intelligenza artificiale rappresentano un rischio per la sicurezza

Febbraio 19, 2026

Le password generate dall'intelligenza artificiale sono "altamente prevedibili" e non sono realmente casuali, rendendole più facili da decifrare per i criminali informatici.

Notizie
Logo Tenga

Il produttore di articoli per l'intimità Tenga ha divulgato i dati dei propri clienti

Febbraio 19, 2026

Un attacco di phishing ai danni di un dipendente di Tenga potrebbe aver compromesso i dati dei clienti statunitensi. I clienti devono prestare attenzione ai tentativi di phishing a sfondo sessuale.

Violazioni dei dati
Logo Betterment

La violazione dei dati di Betterment potrebbe essere più grave di quanto pensassimo

Febbraio 18, 2026

Questa violazione appare ora molto più grave. I dati trapelati includono dettagli personali e finanziari che potrebbero essere utilizzati dai phisher.

Icona dei collaboratori

Contribuenti

Icona del Centro per le minacce

Centro delle minacce

Icona Podcast

Podcast

Icona del glossario

Glossario

Icona delle truffe

Truffe