Golpes, Inteligência de Ameaças

Downloads falsos do 7-Zip estão transformando computadores domésticos em nós proxy

por Stefan Dasic | 9 de fevereiro de 2026
Cavalo de Troia

Um site muito parecido com o popular arquivador 7-Zip tem distribuído um instalador com trojan que, silenciosamente, transforma os computadores das vítimas em nós proxy residenciais — e isso vem ocorrendo há algum tempo, mesmo estando à vista de todos.

“Estou com o estômago embrulhado.”

Um montador de PCs recentemente recorreu à comunidade r/pcmasterrace do Reddit em pânico depois de perceber que havia baixado o 7-Zip do site errado. Seguindo um YouTube para uma nova montagem, ele foi instruído a baixar o 7-Zip do site 7zip[.]com, sem saber que o projeto legítimo está hospedado exclusivamente em 7-zip.org.

Em sua postagem no Reddit, o usuário descreveu ter instalado o arquivo primeiro em um laptop e, posteriormente, transferido-o via USB para um desktop recém-montado. Ele encontrou repetidos erros de 32 bits versus 64 bits e, por fim, abandonou o instalador em favor das ferramentas de extração integradas Windows. Quase duas semanas depois, o Microsoft Defender alertou o sistema com uma detecção genérica: Trojan:Win32/Malgent!MSR.

A experiência ilustra como uma confusão aparentemente menor de domínio pode resultar no uso não autorizado e prolongado de um sistema quando os invasores conseguem se passar por distribuidores de software confiáveis.

Um instalador trojanizado que se faz passar por software legítimo

Este não é um caso simples de um download malicioso hospedado em um site aleatório. Os operadores por trás do 7zip[.]com distribuíram um instalador com trojan através de um domínio semelhante, entregando uma cópia funcional do 7‑Zip File Manager juntamente com uma carga útil de malware oculta.

O instalador é assinado com Authenticode usando um certificado agora revogado emitido para a Jozeal Network Technology Co., Limited, conferindo-lhe uma legitimidade superficial. Durante a instalação, uma versão modificada do 7zfm.exe é implantado e funciona conforme o esperado, reduzindo a desconfiança do usuário. Paralelamente, três componentes adicionais são silenciosamente descartados:

  • Uphero.exe— um gerenciador de serviços e carregador de atualizações
  • hero.exe— a carga útil principal do proxy (compilada em Go)
  • hero.dll— uma biblioteca de suporte

Todos os componentes são gravados em C:\Windows\SysWOW64\hero\, um diretório privilegiado que provavelmente não será inspecionado manualmente.

Um canal de atualização independente também foi observado em update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, indicando que a carga útil do malware pode ser atualizada independentemente do próprio instalador.

Abuso de canais de distribuição confiáveis

Um dos aspectos mais preocupantes dessa campanha é sua dependência da confiança de terceiros. O caso do Reddit destaca YouTube como um vetor inadvertido de distribuição de malware, onde os criadores referenciam incorretamente o site 7zip.com em vez do domínio legítimo.

Isso mostra como os invasores podem explorar pequenos erros em ecossistemas de conteúdo aparentemente benignos para direcionar as vítimas para infraestruturas maliciosas em grande escala.

Fluxo de execução: do instalador ao serviço de proxy persistente

A análise comportamental mostra uma cadeia de infecção rápida e metódica:

1. Implantação de arquivos— A carga útil é instalada no SysWOW64, exigindo privilégios elevados e sinalizando a intenção de integração profunda ao sistema.

2. Persistência por meio Windows—Ambos Uphero.exe e hero.exe estão registrados como Windows de inicialização automática, executados com privilégios do sistema, garantindo a execução em cada inicialização.

3. Manipulação de regras de firewall—O malware invoca netsh para remover as regras existentes e criar novas regras de permissão de entrada e saída para seus binários. O objetivo é reduzir a interferência no tráfego de rede e oferecer suporte a atualizações contínuas de carga útil.

4. Perfil do host— Usando WMI e Windows nativas Windows , o malware enumera as características do sistema, incluindo identificadores de hardware, tamanho da memória, número de CPUs, atributos do disco e configuração de rede. O malware se comunica com iplogger[.]org por meio de um endpoint de relatório dedicado, sugerindo que ele coleta e relata metadados do dispositivo ou da rede como parte de sua infraestrutura de proxy.

Objetivo funcional: monetização de proxy residencial

Embora os indicadores iniciais sugerissem recursos do tipo backdoor, uma análise mais aprofundada revelou que a principal função do malware é proxyware. O host infectado é registrado como um nó proxy residencial, permitindo que terceiros encaminhem o tráfego através do endereço IP da vítima.

O hero.exe O componente recupera dados de configuração de domínios de comando e controle rotativos com o tema “smshero” e, em seguida, estabelece conexões proxy de saída em portas não padrão, como 1000 e 1002. A análise de tráfego mostra um protocolo leve codificado por XOR (chave 0x70) usado para ocultar mensagens de controle.

Essa infraestrutura é consistente com os serviços de proxy residenciais conhecidos, nos quais o acesso a endereços IP reais de consumidores é vendido para fins de fraude, scraping, abuso de anúncios ou lavagem de anonimato.

Ferramentas compartilhadas entre vários instaladores falsos

A falsificação do 7-Zip parece fazer parte de uma operação mais ampla. Binários relacionados foram identificados sob nomes como upHola.exe, upTiktok, upWhatsapp e upWire, todos compartilhando táticas, técnicas e procedimentos idênticos:

  • Implantação no SysWOW64
  • Persistência Windows
  • Manipulação de regras de firewall via netsh
  • Tráfego C2 HTTPS criptografado

Strings incorporadas que fazem referência a marcas VPN proxy sugerem um backend unificado que suporta várias frentes de distribuição.

Infraestrutura rotativa e transporte criptografado

A análise da memória revelou um grande conjunto de domínios de comando e controle codificados usando hero e smshero Convenções de nomenclatura. A resolução ativa durante a execução da sandbox mostrou tráfego roteado pela infraestrutura da Cloudflare com sessões HTTPS criptografadas por TLS.

O malware também usa DNS sobre HTTPS por meio do resolvedor do Google, reduzindo a visibilidade do monitoramento DNS tradicional e complicando a detecção baseada na rede.

Recursos de evasão e anti-análise

O malware incorpora várias camadas de sandbox e evasão de análise:

  • Detecção de máquinas virtuais direcionada a VMware, VirtualBox, QEMU e Parallels
  • Verificações anti-depuração e carregamento suspeito de DLLs do depurador
  • Resolução da API em tempo de execução e inspeção do PEB
  • Enumeração de processos, sondagem do registro e inspeção do ambiente

O suporte criptográfico é abrangente, incluindo AES, RC4, Camellia, Chaskey, codificação XOR e Base64, sugerindo o tratamento de configurações criptografadas e proteção de tráfego.

Orientação defensiva

Qualquer sistema que tenha executado instaladores do site 7zip.com deve ser considerado comprometido. Embora esse malware estabeleça persistência no nível do SISTEMA e modifique as regras do firewall, softwares de segurança confiáveis podem detectar e remover os componentes maliciosos com eficácia. Malwarebytes capaz de erradicar completamente as variantes conhecidas dessa ameaça e reverter seus mecanismos de persistência. Em sistemas de alto risco ou muito utilizados, alguns usuários ainda podem optar por uma reinstalação completa do sistema operacional para garantir segurança absoluta, mas isso não é estritamente necessário em todos os casos.

Os usuários e defensores devem:

  • Verifique as fontes de software e marque os domínios oficiais do projeto como favoritos
  • Trate identidades inesperadas de assinatura de código com ceticismo
  • Monitore Windows não autorizados Windows e alterações nas regras do firewall
  • Bloqueie domínios C2 conhecidos e pontos finais de proxy no perímetro da rede

Atribuição do pesquisador e análise da comunidade

Esta investigação não teria sido possível sem o trabalho de pesquisadores de segurança independentes que foram além dos indicadores superficiais e identificaram o verdadeiro objetivo dessa família de malware.

  • Luke Acha forneceu a primeira análise abrangente mostrando que o malware Uphero/hero funciona como um proxyware residencial, em vez de um backdoor tradicional. Seu trabalho documentou o protocolo proxy, os padrões de tráfego e o modelo de monetização, e conectou essa campanha a uma operação mais ampla que ele chamou de upStage Proxy. O artigo completo de Luke está disponível em seu blog.
  • A s1dhy aprofundou essa análise revertendo e decodificando o protocolo de comunicação personalizado baseado em XOR, validando o comportamento do proxy por meio de capturas de pacotes e correlacionando vários pontos finais do proxy nas localizações geográficas das vítimas. As notas técnicas e as conclusões foram compartilhadas publicamente no X Twitter).
  • Andrew Danis contribuiu com análises adicionais de infraestrutura e agrupamento, ajudando a ligar o instalador falso do 7-Zip a campanhas relacionadas com proxyware que abusavam de outras marcas de software.

Validação técnica adicional e análise dinâmica foram publicadas por pesquisadores do RaichuLab no Qiita e pela WizSafe Security no IIJ.

O trabalho coletivo deles destaca a importância da pesquisa aberta e orientada para a comunidade na descoberta de campanhas de abuso de longa duração que se baseiam na confiança e na desorientação, em vez de explorações.

Considerações finais

Esta campanha demonstra como a falsificação eficaz de marcas, combinada com malware tecnicamente competente, pode operar sem ser detectada por longos períodos. Ao abusar da confiança do usuário, em vez de explorar vulnerabilidades de software, os invasores contornam muitas premissas tradicionais de segurança, transformando downloads de utilitários cotidianos em uma infraestrutura de monetização de longa duração.

Malwarebytes e bloqueia variantes conhecidas desta família de proxyware e sua infraestrutura associada.

Indicadores de Compromisso (IOCs)

Caminhos dos arquivos

  • C:\Windows\SysWOW64\hero\Uphero.exe
  • C:\Windows\SysWOW64\hero\hero.exe
  • C:\Windows\SysWOW64\hero\hero.dll

Hashes de arquivo (SHA-256)

  • e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
  • b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 (hero.exe)
  • 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 (hero.dll)

Indicadores de rede

Domínios:

  • soc.hero-sms[.]co
  • neo.herosms[.]co
  • flux.smshero[.]co
  • nova.smshero[.]ai
  • apex.herosms[.]ai
  • spark.herosms[.]io
  • zest.hero-sms[.]ai
  • prime.herosms[.]vip
  • vivid.smshero[.]vip
  • mint.smshero[.]com
  • pulse.herosms[.]cc
  • glide.smshero[.]cc
  • svc.ha-teams.office[.]com
  • iplogger[.]org

IPs observados (Cloudflare-fronted):

  • 104.21.57.71
  • 172.67.160.241

Indicadores baseados no host

  • Windows com caminhos de imagem apontando para C:\Windows\SysWOW64\hero\
  • Regras de firewall denominadas Uphero ou hero (entrada e saída)
  • Mutex: Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Não nos limitamos a informar sobre as ameaças, nós as removemos

Os riscos de segurança cibernética nunca devem se espalhar além de uma manchete. Mantenha as ameaças longe de seus dispositivos fazendo o download Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan está envolvido em testes de malware e controle de qualidade de produtos AV desde muito cedo. Como parte da equipe Malwarebytes , Stefan se dedica a proteger os clientes e garantir sua segurança.

ÚLTIMOS ARTIGOS

IA
Uma mão se abaixa para pegar um asterisco de uma senha escrita.

As senhas geradas por IA são um risco à segurança

Fevereiro 19, 2026

As senhas geradas por IA são “altamente previsíveis” e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem quebradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

Fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logotipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

Fevereiro 18, 2026

Essa violação agora parece muito mais grave. Os dados vazados incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos colaboradores

Contribuintes

Ícone da Central de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de golpes

Golpes