Golpes, Inteligência de Ameaças

Downloads falsos do 7-Zip estão a transformar computadores domésticos em nós proxy

por Stefan Dasic | 9 de fevereiro de 2026
Cavalo de Troia

Um site muito parecido com o popular arquivador 7-Zip tem servido um instalador com trojan que silenciosamente transforma as máquinas das vítimas em nós proxy residenciais — e tem estado escondido à vista de todos há algum tempo.

Estou com o estômago embrulhado.

Um montador de PCs recentemente recorreu à comunidade r/pcmasterrace do Reddit em pânico depois de perceber que tinha descarregado o 7‑Zip do site errado. Seguindo um YouTube para uma nova montagem, ele foi instruído a descarregar o 7‑Zip do site 7zip[.]com, sem saber que o projeto legítimo está hospedado exclusivamente em 7-zip.org.

Na sua publicação no Reddit, o utilizador descreveu ter instalado o ficheiro primeiro num portátil e, posteriormente, transferido-o via USB para um computador de secretária recém-montado. Encontrou repetidos erros de 32 bits versus 64 bits e, por fim, abandonou o instalador em favor das ferramentas de extração integradas Windows. Quase duas semanas depois, o Microsoft Defender alertou o sistema com uma deteção genérica: Trojan:Win32/Malgent!MSR.

A experiência ilustra como uma confusão aparentemente menor de domínios pode resultar no uso não autorizado e prolongado de um sistema quando os invasores conseguem se passar por distribuidores de software confiáveis.

Um instalador trojanizado que se faz passar por software legítimo

Este não é um caso simples de um download malicioso hospedado num site aleatório. Os operadores por trás do 7zip[.]com distribuíram um instalador com trojan através de um domínio semelhante, entregando uma cópia funcional do 7‑Zip File Manager juntamente com uma carga útil de malware oculta.

O instalador é assinado com Authenticode usando um certificado agora revogado emitido para a Jozeal Network Technology Co., Limited, conferindo-lhe uma legitimidade superficial. Durante a instalação, uma versão modificada do 7zfm.exe é implementado e funciona conforme o esperado, reduzindo a desconfiança do utilizador. Paralelamente, três componentes adicionais são silenciosamente descartados:

  • Uphero.exe— um gestor de serviços e carregador de atualizações
  • hero.exe— a carga útil principal do proxy (compilada em Go)
  • hero.dll— uma biblioteca de suporte

Todos os componentes são gravados em C:\Windows\SysWOW64\hero\, um diretório privilegiado que provavelmente não será inspecionado manualmente.

Um canal de atualização independente também foi observado em update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, indicando que a carga útil do malware pode ser atualizada independentemente do próprio instalador.

Abuso de canais de distribuição confiáveis

Um dos aspetos mais preocupantes desta campanha é a sua dependência da confiança de terceiros. O caso do Reddit destaca YouTube como um vetor inadvertido de distribuição de malware, onde os criadores referenciam incorretamente o site 7zip.com em vez do domínio legítimo.

Isso mostra como os invasores podem explorar pequenos erros em ecossistemas de conteúdo aparentemente benignos para direcionar as vítimas para infraestruturas maliciosas em grande escala.

Fluxo de execução: do instalador ao serviço de proxy persistente

A análise comportamental mostra uma cadeia de infecção rápida e metódica:

1. Implementação de ficheiros— A carga útil é instalada no SysWOW64, exigindo privilégios elevados e sinalizando a intenção de integração profunda no sistema.

2. Persistência através Windows—Ambos Uphero.exe e hero.exe estão registados como Windows de arranque automático, executados com privilégios do sistema, garantindo a execução em cada arranque.

3. Manipulação de regras de firewall—O malware invoca netsh para remover as regras existentes e criar novas regras de permissão de entrada e saída para os seus binários. O objetivo é reduzir a interferência no tráfego de rede e permitir atualizações contínuas da carga útil.

4. Perfil do anfitrião— Usando WMI e Windows nativas Windows , o malware enumera as características do sistema, incluindo identificadores de hardware, tamanho da memória, contagem de CPU, atributos do disco e configuração de rede. O malware comunica-se com iplogger[.]org através de um ponto final de relatório dedicado, sugerindo que recolhe e relata metadados do dispositivo ou da rede como parte da sua infraestrutura de proxy.

Objetivo funcional: monetização de proxy residencial

Embora os indicadores iniciais sugerissem capacidades do tipo backdoor, uma análise mais aprofundada revelou que a principal função do malware é proxyware. O host infetado é registado como um nó proxy residencial, permitindo que terceiros encaminhem o tráfego através do endereço IP da vítima.

O hero.exe O componente recupera dados de configuração de domínios de comando e controlo rotativos com o tema «smshero» e, em seguida, estabelece ligações proxy de saída em portas não padrão, como 1000 e 1002. A análise do tráfego mostra um protocolo leve codificado com XOR (chave 0x70) usado para ocultar mensagens de controlo.

Essa infraestrutura é consistente com os serviços de proxy residenciais conhecidos, nos quais o acesso a endereços IP reais de consumidores é vendido para fins de fraude, scraping, abuso de anúncios ou lavagem de anonimato.

Ferramentas partilhadas entre vários instaladores falsos

A falsificação do 7‑Zip parece fazer parte de uma operação mais ampla. Binários relacionados foram identificados sob nomes como upHola.exe, upTiktok, upWhatsapp e upWire, todos partilhando táticas, técnicas e procedimentos idênticos:

  • Implantação no SysWOW64
  • Persistência Windows
  • Manipulação de regras de firewall através de netsh
  • Tráfego C2 HTTPS encriptado

Strings incorporadas que fazem referência a marcas VPN proxy sugerem um backend unificado que suporta várias frentes de distribuição.

Infraestrutura rotativa e transporte encriptado

A análise da memória revelou um grande conjunto de domínios de comando e controlo codificados usando hero e smshero Convenções de nomenclatura. A resolução ativa durante a execução da sandbox mostrou tráfego encaminhado através da infraestrutura Cloudflare com sessões HTTPS encriptadas por TLS.

O malware também usa DNS sobre HTTPS através do resolvedor do Google, reduzindo a visibilidade para o monitoramento tradicional de DNS e complicando a detecção baseada na rede.

Recursos de evasão e anti-análise

O malware incorpora várias camadas de sandbox e evasão de análise:

  • Detecção de máquinas virtuais direcionada para VMware, VirtualBox, QEMU e Parallels
  • Verificações anti-depuração e carregamento suspeito de DLLs do depurador
  • Resolução da API em tempo de execução e inspeção do PEB
  • Enumeração de processos, sondagem do registo e inspeção do ambiente

O suporte criptográfico é abrangente, incluindo AES, RC4, Camellia, Chaskey, codificação XOR e Base64, sugerindo o tratamento de configurações encriptadas e proteção de tráfego.

Orientação defensiva

Qualquer sistema que tenha executado instaladores do site 7zip.com deve ser considerado comprometido. Embora esse malware estabeleça persistência no nível do SISTEMA e modifique as regras do firewall, softwares de segurança confiáveis podem detectar e remover os componentes maliciosos com eficácia. Malwarebytes capaz de erradicar completamente as variantes conhecidas dessa ameaça e reverter seus mecanismos de persistência. Em sistemas de alto risco ou muito utilizados, alguns utilizadores ainda podem optar por uma reinstalação completa do sistema operativo para garantir segurança absoluta, mas isso não é estritamente necessário em todos os casos.

Os utilizadores e defensores devem:

  • Verifique as fontes de software e marque os domínios oficiais do projeto
  • Trate identidades de assinatura de código inesperadas com ceticismo
  • Monitorize Windows não autorizados e alterações nas regras da firewall
  • Bloqueie domínios C2 conhecidos e pontos finais proxy no perímetro da rede

Atribuição de pesquisadores e análise da comunidade

Esta investigação não teria sido possível sem o trabalho de investigadores de segurança independentes que foram além dos indicadores superficiais e identificaram o verdadeiro objetivo desta família de malware.

  • Luke Acha forneceu a primeira análise abrangente mostrando que o malware Uphero/hero funciona como um proxyware residencial, em vez de um backdoor tradicional. O seu trabalho documentou o protocolo proxy, os padrões de tráfego e o modelo de monetização, e relacionou essa campanha a uma operação mais ampla que ele chamou de upStage Proxy. O artigo completo de Luke está disponível no seu blog.
  • A s1dhy aprofundou esta análise invertendo e descodificando o protocolo de comunicação personalizado baseado em XOR, validando o comportamento do proxy através da captura de pacotes e correlacionando vários pontos finais do proxy nas localizações geográficas das vítimas. As notas técnicas e as conclusões foram partilhadas publicamente no X Twitter).
  • Andrew Danis contribuiu com análises adicionais de infraestrutura e agrupamento, ajudando a ligar o instalador falso do 7-Zip a campanhas relacionadas com proxyware que abusavam de outras marcas de software.

Validação técnica adicional e análise dinâmica foram publicadas por pesquisadores do RaichuLab no Qiita e pela WizSafe Security no IIJ.

O trabalho coletivo deles destaca a importância da investigação aberta e orientada para a comunidade na descoberta de campanhas de abuso de longa duração que se baseiam na confiança e na desorientação, em vez de explorações.

Considerações finais

Esta campanha demonstra como a falsificação eficaz de marcas, combinada com malware tecnicamente competente, pode operar sem ser detetada por longos períodos. Ao abusar da confiança dos utilizadores, em vez de explorar vulnerabilidades de software, os atacantes contornam muitas premissas tradicionais de segurança, transformando downloads de utilitários comuns em infraestruturas de monetização duradouras.

Malwarebytes e bloqueia variantes conhecidas desta família de proxyware e a sua infraestrutura associada.

Indicadores de compromisso (IOCs)

Caminhos dos ficheiros

  • C:\Windows\SysWOW64\hero\Uphero.exe
  • C:\Windows\SysWOW64\hero\hero.exe
  • C:\Windows\SysWOW64\hero\hero.dll

Hashes de ficheiros (SHA-256)

  • e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
  • b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 (hero.exe)
  • 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 (hero.dll)

Indicadores de rede

Domínios:

  • soc.hero-sms[.]co
  • neo.herosms[.]co
  • flux.smshero[.]co
  • nova.smshero[.]ai
  • apex.herosms[.]ai
  • spark.herosms[.]io
  • zest.hero-sms[.]ai
  • prime.herosms[.]vip
  • vivid.smshero[.]vip
  • mint.smshero[.]com
  • pulse.herosms[.]cc
  • glide.smshero[.]cc
  • svc.ha-teams.office[.]com
  • iplogger[.]org

IPs observados (Cloudflare-fronted):

  • 104.21.57.71
  • 172.67.160.241

Indicadores baseados no anfitrião

  • Windows com caminhos de imagem apontando para C:\Windows\SysWOW64\hero\
  • Regras de firewall denominadas Uphero ou hero (entrada e saída)
  • Mutex: Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Não nos limitamos a comunicar as ameaças - eliminamo-las

Os riscos de cibersegurança nunca se devem propagar para além de uma manchete. Mantenha as ameaças longe dos seus dispositivos descarregando Malwarebytes hoje mesmo.

Sobre o autor

Stefan Dasic

Stefan Dasic

Apaixonado por soluções antivírus, Stefan tem estado envolvido em testes de malware e controlo de qualidade de produtos AV desde muito cedo. Como parte da equipa Malwarebytes , Stefan dedica-se a proteger os clientes e a garantir a sua segurança.

ÚLTIMOS ARTIGOS

IA
Uma mão estende-se para apanhar um asterisco de uma palavra-passe escrita.

As palavras-passe geradas por IA são um risco à segurança

fevereiro 19, 2026

As palavras-passe geradas por IA são «altamente previsíveis» e não são verdadeiramente aleatórias, tornando-as mais fáceis de serem decifradas por cibercriminosos.

Notícias
Tenha logo

A fabricante de produtos íntimos Tenga divulgou dados de clientes

fevereiro 19, 2026

Um ataque de phishing a um funcionário da Tenga pode ter exposto dados de clientes dos EUA. Os clientes devem estar atentos a tentativas de phishing com tema de sextorsão.

Violações de dados
Logótipo da Betterment

A violação de dados da Betterment pode ser pior do que pensávamos

fevereiro 18, 2026

Esta violação parece agora muito mais grave. Os dados que vazaram incluem informações pessoais e financeiras detalhadas que os phishers poderiam usar.

Ícone dos contribuidores

Contribuintes

Ícone do Centro de Ameaças

Centro de Ameaças

Ícone de podcasts

Podcast

Ícone do glossário

Glossário

Ícone de burla

Fraudes