Oplichting, dreigingsinformatie

Valse 7-Zip-downloads veranderen thuiscomputers in proxyservers

door Stefan Dasic | 9 februari 2026
Trojaans paard

Een overtuigende lookalike van de populaire 7-Zip archiveringssite heeft een trojanized installer verspreid die de computers van slachtoffers stilletjes omzet in residentiële proxy-knooppunten – en deze site is al enige tijd in het openbaar verborgen gebleven.

"Ik ben zo misselijk."

Een pc-bouwer wendde zich onlangs in paniek tot de r/pcmasterrace-community van Reddit toen hij zich realiseerde dat hij 7‑Zip van de verkeerde website had gedownload. Hij volgde een YouTube voor een nieuwe build en kreeg de instructie om 7‑Zip te downloaden van 7zip[.]com, zonder te weten dat het legitieme project uitsluitend wordt gehost op 7-zip.org.

In hun Reddit-bericht beschreef de gebruiker hoe hij het bestand eerst op een laptop had geïnstalleerd en later via USB naar een nieuw gebouwde desktop had overgezet. Ze kregen herhaaldelijk te maken met 32-bits versus 64-bits fouten en hebben uiteindelijk het installatieprogramma verlaten ten gunste van de ingebouwde extractietools Windows. Bijna twee weken later gaf Microsoft Defender een waarschuwing op het systeem met een generieke detectie: Trojan:Win32/Malgent!MSR.

Deze ervaring illustreert hoe een ogenschijnlijk kleine domeinverwarring kan leiden tot langdurig, ongeoorloofd gebruik van een systeem wanneer aanvallers zich met succes voordoen als vertrouwde softwaredistributeurs.

Een trojanized installer die zich voordoet als legitieme software

Dit is geen eenvoudig geval van een kwaadaardige download die op een willekeurige site wordt gehost. De exploitanten achter 7zip[.]com verspreidden een trojanized installer via een lookalike domein, waarbij ze een functionele kopie van de functionele 7‑Zip File Manager leverden samen met een verborgen malware payload.

Het installatieprogramma is Authenticode-ondertekend met een inmiddels ingetrokken certificaat dat is uitgegeven aan Jozeal Network Technology Co., Limited, waardoor het een schijnbare legitimiteit krijgt. Tijdens de installatie wordt een gewijzigde versie van 7zfm.exe wordt geïmplementeerd en functioneert zoals verwacht, waardoor het wantrouwen van gebruikers wordt verminderd. Tegelijkertijd worden drie extra componenten stilzwijgend verwijderd:

  • Uphero.exe— een servicemanager en updatelader
  • hero.exe— de primaire proxy-payload (Go-gecompileerd)
  • hero.dll— een ondersteunende bibliotheek

Alle componenten worden geschreven naar C:\Windows\SysWOW64\hero\, een bevoorrechte map die waarschijnlijk niet handmatig wordt geïnspecteerd.

Er werd ook een onafhankelijk update-kanaal waargenomen op update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, wat aangeeft dat de malware-payload onafhankelijk van het installatieprogramma zelf kan worden bijgewerkt.

Misbruik van vertrouwde distributiekanalen

Een van de meest zorgwekkende aspecten van deze campagne is dat deze afhankelijk is van het vertrouwen van derden. De Reddit-zaak laat zien dat YouTube een onbedoelde vector voor de verspreiding van malware kunnen zijn, waarbij makers ten onrechte verwijzen naar 7zip.com in plaats van naar het legitieme domein.

Dit laat zien hoe aanvallers kleine fouten in verder onschuldige content-ecosystemen kunnen misbruiken om slachtoffers op grote schaal naar kwaadaardige infrastructuur te leiden.

Uitvoeringsstroom: van installatieprogramma naar permanente proxyservice

Gedragsanalyse toont een snelle en methodische infectieketen aan:

1. Bestandsimplementatie: de payload wordt geïnstalleerd in SysWOW64, waarvoor verhoogde rechten vereist zijn en wat duidt op een intentie tot diepgaande systeemintegratie.

2. Persistentie via Windows—Beide Uphero.exe en hero.exe zijn geregistreerd als automatisch startende Windows die onder systeembevoegdheden draaien, waardoor ze bij elke opstart worden uitgevoerd.

3. Manipulatie van firewallregels—De malware roept op netsh om bestaande regels te verwijderen en nieuwe regels voor inkomend en uitgaand verkeer voor de binaire bestanden te maken. Dit is bedoeld om interferentie met het netwerkverkeer te verminderen en naadloze updates van de payload te ondersteunen.

4. Hostprofilering —Met behulp van WMI en native Windows inventariseert de malware systeemkenmerken, waaronder hardware-identificatiegegevens, geheugengrootte, aantal CPU's, schijfkenmerken en netwerkconfiguratie. De malware communiceert met iplogger[.]org via een speciaal rapportage-eindpunt, wat erop wijst dat het apparaat- of netwerkmetadata verzamelt en rapporteert als onderdeel van zijn proxy-infrastructuur.

Functioneel doel: monetarisering van residentiële proxy's

Hoewel de eerste indicatoren wezen op backdoor-achtige mogelijkheden, bleek uit verdere analyse dat de primaire functie van de malware proxyware is. De geïnfecteerde host wordt geregistreerd als een residentiële proxyknooppunt, waardoor derden verkeer via het IP-adres van het slachtoffer kunnen routeren.

De hero.exe component haalt configuratiegegevens op van roterende "smshero"-thema command-and-control-domeinen en brengt vervolgens uitgaande proxyverbindingen tot stand op niet-standaardpoorten zoals 1000 en 1002. Verkeersanalyse toont een lichtgewicht XOR-gecodeerd protocol (sleutel 0x70) gebruikt om controleberichten te verbergen.

Deze infrastructuur komt overeen met bekende residentiële proxyservices, waarbij toegang tot echte IP-adressen van consumenten wordt verkocht voor fraude, scraping, misbruik van advertenties of het witwassen van anonimiteit.

Gedeelde tools voor meerdere nepinstallatieprogramma's

De 7-Zip-imitatie lijkt deel uit te maken van een bredere operatie. Gerelateerde binaire bestanden zijn geïdentificeerd onder namen als upHola.exe, upTiktok, upWhatsapp en upWire, die allemaal dezelfde tactieken, technieken en procedures hanteren:

  • Implementatie in SysWOW64
  • Windows persistentie
  • Manipulatie van firewallregels via netsh
  • Versleuteld HTTPS C2-verkeer

Ingebouwde strings die verwijzen naar VPN proxymerken suggereren een uniforme backend die meerdere distributiefronten ondersteunt.

Roterende infrastructuur en versleuteld transport

Geheugenanalyse bracht een groot aantal hardgecodeerde command-and-control-domeinen aan het licht die gebruikmaken van hero en smshero naamgevingsconventies. Actieve resolutie tijdens sandbox-uitvoering toonde aan dat het verkeer via de Cloudflare-infrastructuur werd gerouteerd met TLS-versleutelde HTTPS-sessies.

De malware maakt ook gebruik van DNS-over-HTTPS via de resolver van Google, waardoor de zichtbaarheid voor traditionele DNS-monitoring wordt verminderd en netwerkgebaseerde detectie wordt bemoeilijkt.

Ontwijkings- en anti-analysefuncties

De malware bevat meerdere lagen van sandbox en analyseontwijking:

  • Detectie van virtuele machines gericht op VMware, VirtualBox, QEMU en Parallels
  • Anti-debuggingcontroles en het laden van verdachte debugger-DLL's
  • Runtime API-resolutie en PEB-inspectie
  • Procesopsomming, registeronderzoek en omgevinginspectie

Er is uitgebreide ondersteuning voor cryptografie, waaronder AES, RC4, Camellia, Chaskey, XOR-codering en Base64, wat duidt op versleutelde configuratieverwerking en verkeersbeveiliging.

Defensieve begeleiding

Elk systeem waarop installatieprogramma's van 7zip.com zijn uitgevoerd, moet als gecompromitteerd worden beschouwd. Hoewel deze malware zich op SYSTEEMniveau nestelt en firewallregels wijzigt, kan gerenommeerde beveiligingssoftware de kwaadaardige componenten effectief detecteren en verwijderen. Malwarebytes in staat om bekende varianten van deze bedreiging volledig uit te roeien en de mechanismen waarmee deze zich nestelt ongedaan te maken. In risicovolle of intensief gebruikte systemen kunnen sommige gebruikers nog steeds kiezen voor een volledige herinstallatie van het besturingssysteem voor absolute zekerheid, maar dit is niet in alle gevallen strikt noodzakelijk.

Gebruikers en verdedigers moeten:

  • Controleer softwarebronnen en maak bladwijzers van officiële projectdomeinen
  • Wees sceptisch ten aanzien van onverwachte identiteiten voor het ondertekenen van code.
  • Controleer op ongeautoriseerde Windows en wijzigingen in firewallregels
  • Blokkeer bekende C2-domeinen en proxy-eindpunten aan de rand van het netwerk

Onderzoekersattributie en gemeenschapsanalyse

Dit onderzoek zou niet mogelijk zijn geweest zonder het werk van onafhankelijke beveiligingsonderzoekers die verder keken dan de oppervlakkige indicatoren en het werkelijke doel van deze malwarefamilie hebben ontdekt.

  • Luke Acha leverde de eerste uitgebreide analyse waarin hij aantoonde dat de Uphero/hero-malware functioneert als residentiële proxyware in plaats van als een traditionele backdoor. In zijn werk documenteerde hij het proxyprotocol, de verkeerspatronen en het verdienmodel, en bracht hij deze campagne in verband met een bredere operatie die hij upStage Proxy noemde. Het volledige verslag van Luke is te lezen op zijn blog.
  • s1dhy breidde deze analyse uit door het op maat gemaakte XOR-gebaseerde communicatieprotocol om te keren en te decoderen, het proxygedrag te valideren door middel van pakketopnames en meerdere proxy-eindpunten te correleren over de geografische locaties van de slachtoffers. Technische opmerkingen en bevindingen werden openbaar gedeeld op X Twitter).
  • Andrew Danis leverde aanvullende infrastructuuranalyse en clustering, waardoor het nep-installatieprogramma van 7-Zip in verband kon worden gebracht met gerelateerde proxyware-campagnes die misbruik maakten van andere softwaremerken.

Aanvullende technische validatie en dynamische analyse zijn gepubliceerd door onderzoekers van RaichuLab op Qiita en WizSafe Security op IIJ.

Hun gezamenlijke werk benadrukt het belang van open, door de gemeenschap aangestuurd onderzoek bij het blootleggen van langdurige misbruikcampagnes die gebaseerd zijn op vertrouwen en misleiding in plaats van op misbruik.

Afsluitende gedachten

Deze campagne laat zien hoe effectief merkimitatie in combinatie met technisch geavanceerde malware gedurende langere tijd onopgemerkt kan blijven. Door misbruik te maken van het vertrouwen van gebruikers in plaats van softwarekwetsbaarheden te exploiteren, omzeilen aanvallers veel traditionele beveiligingsmaatregelen en veranderen ze alledaagse downloads van hulpprogramma's in een langdurige infrastructuur voor het genereren van inkomsten.

Malwarebytes en blokkeert bekende varianten van deze proxywarefamilie en de bijbehorende infrastructuur.

Indicatoren van compromissen (IOC's)

Bestandspaden

  • C:\Windows\SysWOW64\hero\Uphero.exe
  • C:\Windows\SysWOW64\hero\hero.exe
  • C:\Windows\SysWOW64\hero\hero.dll

Bestandshashes (SHA-256)

  • e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
  • b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 (hero.exe)
  • 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 (hero.dll)

Netwerkindicatoren

Domeinen:

  • soc.hero-sms[.]co
  • neo.herosms[.]co
  • flux.smshero[.]co
  • nova.smshero[.]ai
  • apex.herosms[.]ai
  • spark.herosms[.]io
  • zest.hero-sms[.]ai
  • prime.herosms[.]vip
  • vivid.smshero[.]vip
  • mint.smshero[.]com
  • pulse.herosms[.]cc
  • glide.smshero[.]cc
  • svc.ha-teams.office[.]com
  • iplogger[.]org

Waargenomen IP's (Cloudflare-fronted):

  • 104.21.57.71
  • 172.67.160.241

Hostgebaseerde indicatoren

  • Windows met afbeeldingspaden die verwijzen naar C:\Windows\SysWOW64\hero\
  • Firewallregels met de naam Uphero of hero (inkomend en uitgaand)
  • Mutex: Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

We rapporteren niet alleen over bedreigingen - we verwijderen ze ook

Cyberbeveiligingsrisico's mogen zich nooit verder verspreiden dan een krantenkop. Houd bedreigingen van uw apparaten door Malwarebytes vandaag nog te downloaden.

Over de auteur

Stefan Dasic

Stefan Dasic

Gepassioneerd door antivirusoplossingen is Stefan al vanaf jonge leeftijd betrokken bij het testen van malware en QA van AV-producten. Als onderdeel van het Malwarebytes team is Stefan toegewijd aan het beschermen van klanten en het waarborgen van hun veiligheid.

LAATSTE ARTIKELEN

AI
Een hand reikt naar beneden om een sterretje uit een geschreven wachtwoord te pakken.

Door AI gegenereerde wachtwoorden vormen een veiligheidsrisico

Februari 19, 2026

Door AI gegenereerde wachtwoorden zijn "zeer voorspelbaar" en niet echt willekeurig, waardoor ze gemakkelijker te kraken zijn voor cybercriminelen.

Nieuws
Tenga-logo

Fabrikant van intieme producten Tenga heeft klantgegevens gelekt

Februari 19, 2026

Een phishingaanval op een medewerker van Tenga heeft mogelijk gegevens van Amerikaanse klanten blootgelegd. Klanten moeten alert zijn op phishingpogingen met seksuele chantage als thema.

Datalekken
Betterment-logo

Het datalek bij Betterment is mogelijk ernstiger dan we dachten

Februari 18, 2026

Deze inbreuk lijkt nu veel ernstiger te zijn. De gelekte gegevens bevatten uitgebreide persoonlijke en financiële details die phishers zouden kunnen gebruiken.

Pictogram medewerkers

Medewerkers

Pictogram Bedreigingscentrum

Bedreigingscentrum

Pictogram Podcasts

Podcast

Woordenlijst

Woordenlijst

Pictogram Zwendel

Oplichting