Oszustwa, informacje o zagrożeniach

Fałszywe pliki 7-Zip do pobrania zmieniają domowe komputery w węzły proxy.

autor: Stefan Dasic | 9 lutego 2026 r.
Koń trojański

Przekonująca podróbka popularnej strony archiwizatora 7-Zip udostępnia zainfekowany trojanem instalator, który w ukryciu przekształca komputery ofiar w domowe węzły proxy — i od pewnego czasu pozostaje niewidoczny dla użytkowników.

„Jest mi tak niedobrze”.

Twórca komputerów PC zwrócił się niedawno w panice do społeczności Reddit r/pcmasterrace, gdy zdał sobie sprawę, że pobrał program 7‑Zip z niewłaściwej strony internetowej. Postępując zgodnie z YouTube dotyczącą nowej konfiguracji, otrzymał polecenie pobrania programu 7‑Zip ze strony 7zip[.]com, nie wiedząc, że legalna wersja programu jest dostępna wyłącznie na stronie 7-zip.org.

W swoim poście na Reddicie użytkownik opisał, jak najpierw zainstalował plik na laptopie, a następnie przeniósł go przez USB na nowo zbudowany komputer stacjonarny. Napotkał powtarzające się błędy związane z wersją 32-bitową i 64-bitową i ostatecznie zrezygnował z instalatora na rzecz wbudowanych narzędzi do ekstrakcji Windows. Prawie dwa tygodnie później program Microsoft Defender wyświetlił alert dotyczący systemu z ogólnym wykryciem: Trojan:Win32/Malgent!MSR.

To doświadczenie pokazuje, jak pozornie niewielkie pomylenie domeny może skutkować długotrwałym, nieautoryzowanym użyciem systemu, gdy atakujący skutecznie podszywają się pod zaufanych dystrybutorów oprogramowania.

Zainfekowany trojanem instalator podszywający się pod legalne oprogramowanie

Nie jest to zwykły przypadek złośliwego pliku do pobrania umieszczonego na przypadkowej stronie internetowej. Operatorzy serwisu 7zip[.]com rozpowszechniali zainfekowany trojanem instalator za pośrednictwem podobnej domeny, dostarczając funkcjonalną kopię programu 7‑Zip File Manager wraz z ukrytym złośliwym oprogramowaniem.

Instalator jest podpisany certyfikatem Authenticode przy użyciu unieważnionego certyfikatu wydanego firmie Jozeal Network Technology Co., Limited, co nadaje mu pozory legalności. Podczas instalacji zmodyfikowana wersja programu 7zfm.exe jest wdrażany i działa zgodnie z oczekiwaniami, zmniejszając podejrzliwość użytkowników. Równolegle trzy dodatkowe komponenty są po cichu usuwane:

  • Uphero.exe— menedżer usług i moduł ładujący aktualizacje
  • hero.exe— główny ładunek proxy (skompilowany w języku Go)
  • hero.dll— biblioteka pomocnicza

Wszystkie komponenty są zapisywane do C:\Windows\SysWOW64\hero\, uprzywilejowany katalog, który prawdopodobnie nie zostanie sprawdzony ręcznie.

Zaobserwowano również niezależny kanał aktualizacji pod adresem update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, co wskazuje, że ładunek złośliwego oprogramowania może być aktualizowany niezależnie od samego instalatora.

Nadużywanie zaufanych kanałów dystrybucji

Jednym z bardziej niepokojących aspektów tej kampanii jest jej uzależnienie od zaufania stron trzecich. Przypadek Reddit wskazuje na YouTube jako nieumyślny wektor dystrybucji złośliwego oprogramowania, w których twórcy błędnie podają adres 7zip.com zamiast adresu legalnej domeny.

To pokazuje, jak osoby atakujące mogą wykorzystywać drobne błędy w pozornie nieszkodliwych ekosystemach treści, żeby kierować ofiary do złośliwej infrastruktury na dużą skalę.

Przebieg wykonania: od instalatora do trwałej usługi proxy

Analiza zachowań pokazuje szybki i metodyczny łańcuch infekcji:

1. Wdrażanie plików— ładunek jest instalowany w folderze SysWOW64, co wymaga podwyższonych uprawnień i sygnalizuje zamiar głębokiej integracji z systemem.

2. Trwałość poprzez Windows—Oba Uphero.exe oraz hero.exe są zarejestrowane jako Windows automatycznego uruchamiania Windows działające z uprawnieniami systemowymi, co zapewnia ich wykonanie przy każdym uruchomieniu komputera.

3. Manipulowanie regułami zapory sieciowej—Złośliwe oprogramowanie wywołuje netsh w celu usunięcia istniejących reguł i utworzenia nowych reguł zezwalających na ruch przychodzący i wychodzący dla jego plików binarnych. Ma to na celu zmniejszenie zakłóceń w ruchu sieciowym i zapewnienie płynnych aktualizacji ładunku.

4. Profilowanie hosta— wykorzystując WMI i natywne Windows , złośliwe oprogramowanie wylicza charakterystykę systemu, w tym identyfikatory sprzętu, rozmiar pamięci, liczbę procesorów, atrybuty dysku i konfigurację sieci. Złośliwe oprogramowanie komunikuje się z serwisem iplogger[.]org za pośrednictwem dedykowanego punktu końcowego raportowania, co sugeruje, że gromadzi i raportuje metadane urządzenia lub sieci w ramach swojej infrastruktury proxy.

Cel funkcjonalny: monetyzacja proxy mieszkaniowego

Chociaż początkowe wskaźniki sugerowały funkcje typu backdoor, dalsza analiza wykazała, że podstawową funkcją złośliwego oprogramowania jest proxyware. Zainfekowany host jest rejestrowany jako domowy węzeł proxy, umożliwiając stronom trzecim kierowanie ruchu przez adres IP ofiary.

The hero.exe Komponent pobiera dane konfiguracyjne z rotujących domen dowodzenia i kontroli o tematyce „smshero”, a następnie ustanawia wychodzące połączenia proxy na niestandardowych portach, takich jak 1000 i 1002. Analiza ruchu pokazuje lekki protokół kodowany za pomocą funkcji XOR (klucz 0x70) używane do ukrywania komunikatów sterujących.

Infrastruktura ta jest zgodna ze znanymi usługami proxy dla użytkowników indywidualnych, w ramach których dostęp do rzeczywistych adresów IP konsumentów jest sprzedawany w celu oszustw, scrapingu, nadużyć reklamowych lub prania anonimowości.

Wspólne narzędzia dla wielu fałszywych instalatorów

Podszywanie się pod program 7‑Zip wydaje się być częścią szerszej operacji. Powiązane pliki binarne zostały zidentyfikowane pod nazwami takimi jak upHola.exe, upTiktok, upWhatsapp i upWire, wszystkie stosujące identyczne taktyki, techniki i procedury:

  • Wdrożenie w SysWOW64
  • Trwałość Windows
  • Manipulowanie regułami zapory sieciowej za pomocą netsh
  • Szyfrowany ruch HTTPS C2

Wbudowane ciągi znaków odnoszące się do marek VPN proxy sugerują ujednolicony backend obsługujący wiele frontów dystrybucji.

Infrastruktura rotacyjna i szyfrowany transport

Analiza pamięci ujawniła dużą pulę zakodowanych na stałe domen dowodzenia i kontroli wykorzystujących hero oraz smshero konwencje nazewnictwa. Aktywna rozdzielczość podczas wykonywania piaskownicy wykazała ruch kierowany przez infrastrukturę Cloudflare z sesjami HTTPS szyfrowanymi protokołem TLS.

Złośliwe oprogramowanie wykorzystuje również protokół DNS-over-HTTPS za pośrednictwem serwera rozpoznającego Google, co ogranicza widoczność tradycyjnego monitorowania DNS i utrudnia wykrywanie w sieci.

Funkcje unikania wykrycia i przeciwdziałania analizie

Złośliwe oprogramowanie zawiera wiele warstw piaskownicy i mechanizmów unikania analizy:

  • Wykrywanie maszyn wirtualnych VMware, VirtualBox, QEMU i Parallels
  • Kontrole antydebugujące i ładowanie podejrzanych bibliotek DLL debuggera
  • Rozwiązywanie API środowiska uruchomieniowego i kontrola PEB
  • Wyliczanie procesów, sondowanie rejestru i kontrola środowiska

Obsługa kryptografii jest rozbudowana i obejmuje standardy AES, RC4, Camellia, Chaskey, kodowanie XOR oraz Base64, co sugeruje obsługę szyfrowanych konfiguracji i ochronę ruchu.

Wskazówki dotyczące obrony

Każdy system, na którym uruchomiono instalatory z witryny 7zip.com, należy uznać za zainfekowany. Chociaż to złośliwe oprogramowanie zapewnia sobie trwałość na poziomie SYSTEMU i modyfikuje reguły zapory ogniowej, renomowane oprogramowanie zabezpieczające może skutecznie wykrywać i usuwać złośliwe komponenty. Malwarebytes w stanie całkowicie wyeliminować znane warianty tego zagrożenia i odwrócić jego mechanizmy trwałości. W systemach wysokiego ryzyka lub intensywnie użytkowanych niektórzy użytkownicy mogą nadal decydować się na całkowitą reinstalację systemu operacyjnego, aby uzyskać całkowitą pewność, ale nie jest to bezwzględnie wymagane we wszystkich przypadkach.

Użytkownicy i obrońcy powinni:

  • Sprawdź źródła oprogramowania i dodaj oficjalne domeny projektu do zakładek.
  • Podchodź sceptycznie do nieoczekiwanych tożsamości podpisujących kod
  • Monitoruj nieautoryzowane Windows i zmiany reguł zapory sieciowej.
  • Blokuj znane domeny C2 i punkty końcowe proxy na obrzeżach sieci

Atrybucja badaczy i analiza społeczności

To dochodzenie nie byłoby możliwe bez pracy niezależnych badaczy zajmujących się bezpieczeństwem, którzy nie poprzestali na powierzchownych wskaźnikach i zidentyfikowali prawdziwy cel tej rodziny złośliwego oprogramowania.

  • Luke Acha przedstawił pierwszą kompleksową analizę pokazującą, że złośliwe oprogramowanie Uphero/hero działa raczej jako proxyware dla użytkowników domowych niż tradycyjne oprogramowanie typu backdoor. W swojej pracy udokumentował protokół proxy, wzorce ruchu i model monetyzacji, a także powiązał tę kampanię z szerszą operacją, którą nazwał upStage Proxy. Pełna treść artykułu Luke'a jest dostępna na jego blogu.
  • s1dhy rozszerzył tę analizę, odwracając i dekodując niestandardowy protokół komunikacyjny oparty na funkcji XOR, weryfikując zachowanie serwera proxy poprzez przechwytywanie pakietów oraz korelując wiele punktów końcowych serwera proxy w różnych lokalizacjach geograficznych ofiar. Notatki techniczne i wyniki badań zostały opublikowane na X Twitter).
  • Andrew Danis wniósł dodatkową analizę infrastruktury i klastrowanie, pomagając powiązać fałszywy instalator 7-Zip z powiązanymi kampaniami proxyware wykorzystującymi inne marki oprogramowania.

Dodatkowa walidacja techniczna i analiza dynamiczna zostały opublikowane przez naukowców z RaichuLab na Qiita oraz WizSafe Security na IIJ.

Ich wspólna praca podkreśla znaczenie otwartych, prowadzonych przez społeczność badań w ujawnianiu długotrwałych kampanii nadużyć, które opierają się na zaufaniu i wprowadzaniu w błąd, a nie na wykorzystywaniu luk w zabezpieczeniach.

Podsumowanie

Ta kampania pokazuje, jak skuteczne może być podszywanie się pod markę w połączeniu z zaawansowanym technicznie złośliwym oprogramowaniem, które może działać niezauważone przez długi czas. Wykorzystując zaufanie użytkowników zamiast luk w zabezpieczeniach oprogramowania, atakujący omijają wiele tradycyjnych zabezpieczeń, zamieniając codzienne pobieranie narzędzi w długotrwałą infrastrukturę służącą do generowania zysków.

Malwarebytes i blokuje znane warianty tej rodziny oprogramowania proxy oraz powiązaną z nią infrastrukturę.

Wskaźniki kompromisu (IOC)

Ścieżki plików

  • C:\Windows\SysWOW64\hero\Uphero.exe
  • C:\Windows\SysWOW64\hero\hero.exe
  • C:\Windows\SysWOW64\hero\hero.dll

Suma kontrolna pliku (SHA-256)

  • e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
  • b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 (hero.exe)
  • 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 (hero.dll)

Wskaźniki sieciowe

Domeny:

  • soc.hero-sms[.]co
  • neo.herosms[.]co
  • flux.smshero[.]co
  • nova.smshero[.]ai
  • apex.herosms[.]ai
  • spark.herosms[.]io
  • zest.hero-sms[.]ai
  • prime.herosms[.]vip
  • vivid.smshero[.]vip
  • mint.smshero[.]com
  • pulse.herosms[.]cc
  • glide.smshero[.]cc
  • svc.ha-teams.office[.]com
  • iplogger[.]org

Obserwowane adresy IP (z Cloudflare):

  • 104.21.57.71
  • 172.67.160.241

Wskaźniki oparte na hoście

  • Windows z ścieżkami obrazów wskazującymi na C:\Windows\SysWOW64\hero\
  • Reguły zapory sieciowej o nazwie Uphero lub hero (przychodzące i wychodzące)
  • Mutex: Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Nie tylko informujemy o zagrożeniach - my je usuwamy

Zagrożenia cyberbezpieczeństwa nigdy nie powinny wykraczać poza nagłówek. Chroń swoje urządzenia przed zagrożeniami, pobierając Malwarebytes już dziś.

O autorze

Stefan Dasic

Stefan Dasic

Pasjonat rozwiązań antywirusowych, Stefan od najmłodszych lat zajmuje się testowaniem złośliwego oprogramowania i kontrolą jakości produktów AV. Jako członek zespołu Malwarebytes , Stefan jest oddany ochronie klientów i zapewnianiu im bezpieczeństwa.

NAJNOWSZE ARTYKUŁY

AI
Ręka sięga w dół, aby chwycić jedną gwiazdkę z zapisanego hasła.

Hasła generowane przez sztuczną inteligencję stanowią zagrożenie dla bezpieczeństwa.

Luty 19, 2026

Hasła generowane przez sztuczną inteligencję są „bardzo przewidywalne” i nie są prawdziwie losowe, co sprawia, że cyberprzestępcy mogą je łatwiej złamać.

Aktualności
Logo Tenga

Producent artykułów intymnych Tenga ujawnił dane klientów

Luty 19, 2026

Atak phishingowy na pracownika firmy Tenga mógł spowodować ujawnienie danych klientów z USA. Klienci powinni uważać na próby phishingu związane z sekstorsją.

Naruszenia danych
Logo Betterment

Wyciek danych Betterment może być poważniejszy, niż sądziliśmy

Luty 18, 2026

Obecnie wydaje się, że naruszenie to ma znacznie poważniejszy charakter. Wyciekające dane zawierają bogate informacje osobiste i finansowe, które mogą zostać wykorzystane przez phisherów.

Ikona współtwórców

Współtwórcy

Ikona Centrum zagrożeń

Centrum ds. zagrożeń

Ikona podcastów

Podcast

Ikona słowniczka

Słowniczek

Ikona oszustwa

Oszustwa