Мошенничество, угрозы

Поддельные загрузки 7-Zip превращают домашние ПК в прокси-узлы

Автор: Стефан Дасич | 9 февраля 2026 г.
Троянский конь

Убедительная копия популярного сайта архиватора 7-Zip распространяет троянский установщик, который незаметно превращает компьютеры жертв в прокси-серверы для домашнего использования — и уже некоторое время скрывается у всех на виду.

«Мне так плохо»

Недавно один сборщик ПК в панике обратился к сообществу Reddit r/pcmasterrace, обнаружив, что скачал 7‑Zip с неправильного веб-сайта. Следуя YouTube по сборке нового ПК, он получил указание скачать 7‑Zip с сайта 7zip[.]com, не зная, что официальный проект размещен исключительно на сайте 7-zip.org.

В своем посте на Reddit пользователь описал, как сначала установил файл на ноутбук, а затем перенес его через USB на новый настольный компьютер. Он столкнулся с повторяющимися ошибками 32-битной и 64-битной версий и в конечном итоге отказался от установщика в пользу встроенных инструментов извлечения Windows. Спустя почти две недели Microsoft Defender выдал предупреждение о наличии в системе общего типа: Trojan:Win32/Malgent!MSR.

Этот случай показывает, как, казалось бы, незначительная путаница с доменами может привести к длительному несанкционированному использованию системы, когда злоумышленники успешно маскируются под надежных дистрибьюторов программного обеспечения.

Троянский установщик, маскирующийся под легальное программное обеспечение

Это не просто случай вредоносной загрузки с случайного сайта. Операторы, стоящие за 7zip[.]com, распространили троянский установщик через похожий домен, поставляя функциональную копию файлового менеджера 7‑Zip вместе со скрытым вредоносным ПО.

Установщик подписан Authenticode с использованием отмененного сертификата, выданного Jozeal Network Technology Co., Limited, что придает ему внешнюю легитимность. Во время установки модифицированная сборка 7zfm.exe развернут и функционирует как ожидалось, снижая подозрения пользователей. Параллельно с этим три дополнительных компонента незаметно удаляются:

  • Uphero.exe— диспетчер служб и загрузчик обновлений
  • hero.exe— основная полезная нагрузка прокси (скомпилированная на Go)
  • hero.dll— вспомогательная библиотека

Все компоненты записываются в C:\Windows\SysWOW64\hero\, привилегированный каталог, который вряд ли будет проверяться вручную.

Независимый канал обновления также наблюдался в update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, что указывает на то, что полезную нагрузку вредоносного ПО можно обновлять независимо от самого установщика.

Злоупотребление доверенными каналами распространения

Одним из наиболее тревожных аспектов этой кампании является ее зависимость от доверия третьих лиц. Случай с Reddit подчеркивает, что YouTube могут стать непреднамеренным каналом распространения вредоносного ПО, если авторы ошибочно ссылаются на сайт 7zip.com вместо легитимного домена.

Это показывает, как злоумышленники могут использовать небольшие ошибки в иначе безобидных экосистемах контента, чтобы в больших масштабах направлять жертв к вредоносной инфраструктуре.

Последовательность выполнения: от установщика до постоянного прокси-сервиса

Анализ поведения показывает быструю и методичную цепочку заражения:

1. Развертывание файлов— полезные данные устанавливаются в SysWOW64, что требует повышенных привилегий и сигнализирует о намерении глубокой системной интеграции.

2. Сохранение данных с помощью Windows—Оба Uphero.exe и hero.exe зарегистрированы как Windows с автозапуском, работающие с привилегиями системы, что обеспечивает их выполнение при каждой загрузке.

3. Манипулирование правилами брандмауэра—Вредоносная программа вызывает netsh удалить существующие правила и создать новые правила разрешения входящего и исходящего трафика для его бинарных файлов. Это сделано для уменьшения помех сетевому трафику и обеспечения бесперебойного обновления полезных данных.

4. Создание профиля хоста— с помощью WMI и собственных Windows вредоносная программа перечисляет характеристики системы, включая идентификаторы оборудования, объем памяти, количество процессоров, атрибуты диска и конфигурацию сети. Вредоносная программа связывается с iplogger[.]org через специальный конечный пункт отчетности, что позволяет предположить, что она собирает и передает метаданные устройства или сети в рамках своей прокси-инфраструктуры.

Функциональная цель: монетизация прокси-серверов для жилых помещений

Хотя первоначальные показатели указывали на наличие функций типа «бэкдор», дальнейший анализ показал, что основной функцией вредоносного ПО является прокси-программа. Зараженный хост регистрируется в качестве прокси-узла, что позволяет третьим лицам направлять трафик через IP-адрес жертвы.

Сайт hero.exe Компонент извлекает данные конфигурации из вращающихся командных и контрольных доменов с темой «smshero», а затем устанавливает исходящие прокси-соединения на нестандартных портах, таких как 1000 и 1002. Анализ трафика показывает легкий протокол с кодировкой XOR (ключ 0x70) используется для сокрытия контрольных сообщений.

Эта инфраструктура соответствует известным прокси-сервисам для частных лиц, где доступ к реальным IP-адресам потребителей продается для мошенничества, сбора данных, злоупотребления рекламой или отмывания анонимности.

Общий инструментарий для нескольких поддельных установщиков

Похоже, что подделка 7‑Zip является частью более широкой операции. Связанные бинарные файлы были обнаружены под такими именами, как upHola.exe, upTiktok, upWhatsapp и upWire, все использующие одинаковые тактики, методы и процедуры:

  • Развертывание в SysWOW64
  • Устойчивость Windows
  • Манипулирование правилами брандмауэра через netsh
  • Зашифрованный трафик HTTPS C2

Встроенные строки, ссылающиеся на бренды VPN прокси, указывают на единый бэкэнд, поддерживающий несколько фронтов распространения.

Вращающаяся инфраструктура и зашифрованная передача данных

Анализ памяти выявил большой пул жестко запрограммированных доменов управления и контроля, использующих hero и smshero правила именования. Активное разрешение во время выполнения в песочнице показало, что трафик маршрутизировался через инфраструктуру Cloudflare с TLS-зашифрованными HTTPS-сессиями.

Вредоносное ПО также использует DNS-over-HTTPS через резолвер Google, что снижает видимость для традиционного мониторинга DNS и затрудняет обнаружение на основе сети.

Функции уклонения и противодействия анализу

Вредоносное ПО включает в себя несколько уровней песочницы и средств обхода анализа:

  • Обнаружение виртуальных машин VMware, VirtualBox, QEMU и Parallels
  • Проверки на наличие отладочных программ и подозрительная загрузка DLL-библиотек отладчика
  • Разрешение API во время выполнения и проверка PEB
  • Перечисление процессов, проверка реестра и проверка среды

Широкая поддержка криптографии, включая AES, RC4, Camellia, Chaskey, кодирование XOR и Base64, что предполагает обработку зашифрованных конфигураций и защиту трафика.

Оборонительная ориентация

Любая система, на которой были запущены установщики с сайта 7zip.com, должна считаться скомпрометированной. Хотя это вредоносное ПО устанавливает постоянное присутствие на уровне СИСТЕМЫ и изменяет правила брандмауэра, надежное программное обеспечение для обеспечения безопасности может эффективно обнаруживать и удалять вредоносные компоненты. Malwarebytes полностью уничтожить известные варианты этой угрозы и отменить ее механизмы постоянного присутствия. В системах с высоким уровнем риска или интенсивным использованием некоторые пользователи могут по-прежнему выбирать полную переустановку ОС для абсолютной уверенности, но это не является строго необходимым во всех случаях.

Пользователи и защитники должны:

  • Проверьте источники программного обеспечения и добавьте в закладки официальные домены проектов
  • Скептически относитесь к неожиданным идентификаторам подписи кода
  • Мониторинг несанкционированных изменений Windows и правил брандмауэра
  • Блокировка известных доменов C2 и прокси-конечных точек на периметре сети

Атрибуция исследователей и анализ сообщества

Это расследование было бы невозможно без работы независимых исследователей в области безопасности, которые не ограничились поверхностными показателями и выявили истинную цель этого семейства вредоносных программ.

  • Люк Ача представил первый комплексный анализ, показывающий, что вредоносное ПО Uphero/hero функционирует как прокси-программа для домашнего использования, а не как традиционная бэкдор-программа. В своей работе он описал протокол прокси, схемы трафика и модель монетизации, а также связал эту кампанию с более широкой операцией, которую он назвал upStage Proxy. Полный текст статьи Люка доступен в его блоге.
  • s1dhy расширил этот анализ, обратив и декодировав пользовательский протокол связи на основе XOR, проверив поведение прокси-сервера с помощью захвата пакетов и сопоставив несколько конечных точек прокси-сервера по геолокации жертв. Технические заметки и выводы были опубликованы на X Twitter).
  • Эндрю Данис (Andrew Danis) внес дополнительный вклад в анализ инфраструктуры и кластеризацию, помогая связать поддельный установщик 7-Zip с связанными кампаниями по распространению прокси-программ, злоупотребляющими другими брендами программного обеспечения.

Дополнительная техническая проверка и динамический анализ были опубликованы исследователями из RaichuLab на Qiita и WizSafe Security на IIJ.

Их совместная работа подчеркивает важность открытых, ориентированных на сообщество исследований для выявления длительных кампаний злоупотреблений, которые опираются на доверие и введение в заблуждение, а не на уязвимости.

Заключительные мысли

Эта кампания демонстрирует, насколько эффективно подделка бренда в сочетании с технически грамотным вредоносным ПО может действовать незаметно в течение длительного времени. Злоупотребляя доверием пользователей, а не эксплуатируя уязвимости программного обеспечения, злоумышленники обходят многие традиционные меры безопасности, превращая повседневные загрузки утилит в долговечную инфраструктуру монетизации.

Malwarebytes и блокирует известные варианты этого семейства прокси-программ и связанную с ним инфраструктуру.

Индикаторы компромисса (ИКС)

Пути к файлам

  • C:\Windows\SysWOW64\hero\Uphero.exe
  • C:\Windows\SysWOW64\hero\hero.exe
  • C:\Windows\SysWOW64\hero\hero.dll

Хэши файлов (SHA-256)

  • e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027 (Uphero.exe)
  • b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894 (hero.exe)
  • 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9 (hero.dll)

Сетевые индикаторы

Домены:

  • soc.hero-sms[.]co
  • neo.herosms[.]co
  • flux.smshero[.]co
  • nova.smshero[.]ai
  • apex.herosms[.]ai
  • spark.herosms[.]io
  • zest.hero-sms[.]ai
  • prime.herosms[.]vip
  • vivid.smshero[.]vip
  • mint.smshero[.]com
  • pulse.herosms[.]cc
  • glide.smshero[.]cc
  • svc.ha-teams.office[.]com
  • iplogger[.]org

Наблюдаемые IP-адреса (Cloudflare-fronted):

  • 104.21.57.71
  • 172.67.160.241

Индикаторы на основе хоста

  • Windows с путями к изображениям, указывающими на C:\Windows\SysWOW64\hero\
  • Правила брандмауэра с именами Uphero или hero (входящие и исходящие)
  • Мьютекс: Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7

Мы не просто сообщаем об угрозах - мы их устраняем

Риски кибербезопасности не должны выходить за рамки заголовка. Загрузите Malwarebytes сегодня, чтобы предотвратить угрозы на своих устройствах.

Об авторе

Стефан Дашич

Стефан Дашич

Увлеченный антивирусными решениями, Стефан с раннего возраста участвовал в тестировании вредоносных программ и контроле качества AV-продуктов. Став частью команды Malwarebytes , Стефан посвящает себя защите клиентов и обеспечению их безопасности.

ПОСЛЕДНИЕ СТАТЬИ

AI
Рука тянется вниз, чтобы схватить одну звездочку из написанного пароля.

Пароли, сгенерированные искусственным интеллектом, представляют угрозу безопасности

Февраль 19, 2026

Пароли, сгенерированные искусственным интеллектом, «легко предсказуемы» и не являются действительно случайными, что упрощает их взлом киберпреступниками.

Новости
Логотип Tenga

Производитель интимных товаров Tenga утекла информация о данных клиентов

Февраль 19, 2026

Фишинговая атака на сотрудника компании Tenga могла привести к утечке данных американских клиентов. Клиентам следует быть начеку в отношении фишинговых попыток с использованием сексуального шантажа.

Утечки данных
Логотип Betterment

Утечка данных Betterment может быть серьезнее, чем мы думали

Февраль 18, 2026

Теперь эта утечка выглядит гораздо более серьезной. Утечка данных включает в себя подробную личную и финансовую информацию, которую могут использовать фишеры.

Значок вкладчика

Вкладчики

Значок центра угроз

Центр защиты от угроз

Значок подкастов

Подкаст

Значок глоссария

Глоссарий

Значок мошенничества

Аферы