Un sitio web que se asemeja al popular compresor 7-Zip ha estado distribuyendo un instalador malicioso que convierte silenciosamente las computadoras de las víctimas en nodos proxies residenciales, y ha permanecido visible durante un tiempo prolongado.

Un ensamblador de computadoras se dio cuenta de que había descargado 7-Zip desde el sitio equivocado. Siguiendo un tutorial de YouTube, se le recomendó descargar la aplicación desde 7zip[.]com (sin guión), sin saber que el proyecto legítimo se encuentra solamente en 7-zip.org.

En su publicación en Reddit, el usuario explicó cómo instaló el archivo primero en una laptop y luego lo transfirió a una computadora de escritorio recién armada a través de USB. Se encontró con repetidos errores de compatibilidad entre 32 bits y 64 bits y finalmente decidió dejar el instalador y utilizar las herramientas de extracción que incluye Windows. Casi dos semanas después, Microsoft Defender alertó sobre una detección genérica de malware.

Esta experiencia ilustra cómo una confusión aparentemente menor en los dominios puede resultar en el uso no autorizado y prolongado de un sistema, permitiendo que los atacantes se hagan pasar por distribuidores de software confiables.

Un instalador troyanizado que finge ser software legítimo

Este no es simplemente un caso de descargar software maliciosos de un sitio web aleatorio. Los operadores de 7zip[.]com han distribuido un instalador troyanizado a través de un dominio similar, entregando una copia funcional del administrador de archivos 7-Zip junto con una carga de malware oculta.

El instalador está firmado con Authenticode mediante un certificado emitido a Jozeal Network Technology Co., Limited, ahora revocado, lo que le brinda una falsa legitimidad. Durante la instalación, se implementa una versión modificada de 7zfm.exe que funciona correctamente, disminuyendo así las sospechas del usuario. Simultáneamente, se instalan silenciosamente tres componentes adicionales:

Todos los componentes se instalan en C:\Windows\SysWOW64\hero\, un directorio privilegiado que es poco probable que sea inspeccionado manualmente.

También se ha detectado un canal de actualización independiente en update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, lo que sugiere que la carga de malware puede actualizarse sin depender del instalador original.

Abuso de canales de distribución confiables

Un aspecto preocupante de esta campaña es su dependencia de la confianza de terceros. El caso mencionado en Reddit destaca cómo los tutoriales de YouTube pueden servir como vectores involuntarios para la distribución de malware, donde los creadores erróneamente mencionan «.com» en lugar del dominio legítimo.

Esto demuestra cómo los atacantes pueden aprovechar pequeños errores en ecosistemas de contenido que, de otro modo, resultarían inofensivos, para dirigir a las víctimas hacia infraestructura maliciosa a gran escala.

Flujo de ejecución

El análisis del comportamiento revela un proceso de infección rápido y metódico:

1. **Implementación de archivos:** La carga útil se instala en SysWOW64, lo que requiere privilegios elevados y busca una integración profunda en el sistema.

2. **Persistencia a través de servicios de Windows:** Tanto Uphero.exe como hero.exe se registran como servicios de Windows que se inician automáticamente y se ejecutan con privilegios del sistema, asegurando su ejecución en cada arranque.

3. **Manipulación del firewall:** El malware utiliza netsh para eliminar reglas existentes y crear nuevas que permiten la entrada y salida de sus binarios, con el fin de reducir interferencias en el tráfico de red y facilitar actualizaciones suaves de la carga útil.

4. **Perfilado del sistema:** A través de WMI y las API nativas de Windows, el malware recoge características del sistema, incluyendo identificadores de hardware, tamaño de memoria, número de CPU, atributos de disco y configuración de red. Se comunica con iplogger[.]org mediante un endpoint diseñado para generación de informes, lo que sugiere que recopila y reporta metadatos del dispositivo y red como parte de su infraestructura proxy.

Objetivo funcional: monetización de proxy residencial

Si bien los primeros indicadores sugerían capacidades similares a una puerta trasera, un análisis posterior indicó que la función principal del malware es el proxyware. La máquina infectada se registra como un nodo proxy residencial, lo que permite a terceros enrutar tráfico a través de la dirección IP de la víctima.

El componente hero.exe obtiene datos de configuración desde dominios de comando y control rotativos que contienen la palabra «smshero» y establece conexiones proxy en puertos no estándar como 1000 y 1002. Los análisis de tráfico revelan un protocolo ligero que utiliza codificación XOR (clave 0x70) para ocultar los mensajes de control.

Esta infraestructura es coherente con servicios de proxy residencial establecidos, donde se venden accesos a direcciones IP reales con fines de fraude, scraping, abuso de publicidad o blanqueo de anonimato.

La suplantación de identidad de 7-Zip parece formar parte de un esfuerzo más amplio. Se han identificado binarios relacionados con nombres como upHola.exe, upTiktok, upWhatsapp y upWire, todos usando tácticas, técnicas y procedimientos similares:

Las cadenas incrustadas que mencionan marcas de VPN y proxy sugieren un backend unificado que respalda múltiples frentes de distribución.

Infraestructura rotativa y transporte cifrado

El análisis de memoria ha revelado un extenso conjunto de dominios de comando y control codificados que utilizan convenciones de nombres hero y smshero. La resolución activa en ejecución dentro de un sandbox mostró que el tráfico se enrutaba a través de la infraestructura de Cloudflare usando sesiones HTTPS cifradas con TLS.

Además, el malware utiliza DNS sobre HTTPS a través del solucionador de Google, lo que dificulta la visibilidad para el monitoreo tradicional de DNS y complica la detección basada en la red.

Funciones de evasión y antianálisis

El malware presenta múltiples capas de respuesta a la detección y evasión:

La compatibilidad con cifrado es robusta, incluyendo AES, RC4, Camellia, Chaskey, codificación XOR y Base64, lo que sugiere un manejo cifrado de la configuración y la protección del tráfico.

Guía de defensa

Cualquier sistema que haya ejecutado instaladores de 7zip[.]com debe considerarse comprometido. Aunque este malware establece persistencia a nivel de System y modifica las reglas del firewall, un software de seguridad confiable puede detectar y eliminar eficientemente los componentes maliciosos. En sistemas de alto riesgo o de uso constante, algunos usuarios pueden optar por una reinstalación completa del sistema operativo para garantizar una seguridad absoluta, aunque no es estrictamente necesario en todos los casos.

Los usuarios y defensores deben:

Esta investigación no habría sido posible sin el esfuerzo de investigadores de seguridad independientes que exploraron más allá de los indicadores superficiales e identificaron el verdadero propósito de esta familia de malware.

Aquí se pueden consultar y descargar todos los IoCs de la campaña.

Fuente: MalwareBytes


Con Información de blog.segu-info.com.ar