Malicious 7-Zip: fałszywa strona 7zip[.]com rozsyła instalator z „proxyware” i robi z PC węzeł proxy - Security Bez Tabu

Malicious 7-Zip: fałszywa strona 7zip[.]com rozsyła instalator z „proxyware” i robi z PC węzeł proxy

Wprowadzenie do problemu / definicja luki

W lutym 2026 badacze opisali kampanię, w której cyberprzestępcy podszywają się pod projekt 7-Zip i dystrybuują trojanizowany instalator. Na pierwszy rzut oka aplikacja działa poprawnie (użytkownik faktycznie dostaje 7-Zip), ale w tle instalują się dodatkowe komponenty, które rejestrują komputer jako „residential proxy node” – czyli węzeł w sieci pośredniczącej ruch.

To nie jest „klasyczny wirus” nastawiony na natychmiastowe szyfrowanie plików – to cicha monetyzacja zasobów i reputacji Twojego adresu IP.

W skrócie

  • Fałszywa domena 7zip[.]com imituje wygląd i treść oryginalnej strony 7-Zip (prawidłowa to 7-zip.org).
  • Instalator jest podpisany cyfrowo certyfikatem (opisanym jako później cofnięty), co zwiększa wiarygodność w oczach użytkownika.
  • Malware dropuje pliki m.in. Uphero.exe, hero.exe, hero.dll, tworzy usługę Windows (SYSTEM) i modyfikuje reguły zapory.
  • Celem jest proxyware: ruch osób trzecich idzie „przez” komputer ofiary, często na nietypowych portach (np. 1000/1002) i z rotującą infrastrukturą C2.

Kontekst / historia / powiązania

Sprawa wyszła szerzej na jaw po relacji użytkownika, który pobrał „7-Zip” z błędnej strony, idąc za linkiem podanym w kontekście poradnika YouTube dotyczącego składania PC. To pokazuje, jak łatwo atakujący wykorzystują łańcuch zaufania: tutorial, komentarz, link, szybkie pobranie „popularnego narzędzia”.

Warto zauważyć, że podszywanie się pod legalne oprogramowanie i nazewnictwo to klasyczny wzorzec „masquerading” opisywany także w MITRE ATT&CK (dopasowanie nazwy/lokalizacji zasobu do legalnego).

Analiza techniczna / szczegóły luki

1) Warstwa „legit” – żeby ofiara niczego nie zauważyła

Trojanizowany instalator zawiera działający 7-Zip, więc użytkownik widzi oczekiwany efekt i często kończy na tym weryfikację.

2) Dropper i komponenty proxy

W trakcie instalacji zapisywane są dodatkowe pliki (w analizie Malwarebytes/BleepingComputer wskazywane jako):

  • Uphero.exe – menedżer usługi / loader aktualizacji
  • hero.exe – główny payload proxy
  • hero.dll – biblioteka wspierająca
    Wskazywana ścieżka: C:\Windows\SysWOW64\hero\ (lokalizacja, której użytkownicy zwykle nie przeglądają ręcznie).

3) Persistencja: usługa Windows na uprawnieniach SYSTEM

Malware tworzy autostartową usługę Windows i uruchamia się z wysokimi uprawnieniami, co utrudnia wykrycie oraz usunięcie „na oko”.

4) Zmiany w zaporze i komunikacja

W opisie kampanii pojawiają się:

  • modyfikacje reguł zapory przez netsh (inbound/outbound),
  • pobieranie konfiguracji z rotujących domen „smshero”,
  • komunikacja na nietypowych portach (np. 1000, 1002) i lekkie zaciemnianie komunikatów (XOR).

5) Profilowanie hosta i telemetria

Wskazano profilowanie systemu przez WMI/API Windows (sprzęt, pamięć, dysk, sieć) oraz wysyłkę danych do zewnętrznego endpointu.

6) Szersza operacja

Badacze łączą tę kampanię z innymi „przynętami” (trojanizowane instalatory podszywające się pod różne aplikacje), co sugeruje powtarzalny pipeline dystrybucyjny i monetyzację infrastruktury proxy na większą skalę.

Praktyczne konsekwencje / ryzyko

Najważniejsze ryzyka dla użytkownika i organizacji:

  1. Reputacyjne i prawne: ruch przestępców może wychodzić „Twoim” IP (nadużycia, fraud, próby logowania, spam). To Ty możesz zostać pierwszym podejrzanym w logach usług.
  2. Ryzyko eskalacji: proxyware bywa elementem większego łańcucha – dziś „tylko” węzeł, jutro doinstalowanie kolejnych komponentów (loader/aktualizacje).
  3. Trudniejsze wykrycie: bo 7-Zip działa, a usługa w systemie wygląda jak „coś od narzędzia”. To dokładnie mechanika masquerading.

Rekomendacje operacyjne / co zrobić teraz

Dla użytkowników (endpoint)

  • Natychmiastowa weryfikacja źródła: 7-Zip pobieraj wyłącznie z 7-zip.org, a nie z domen „podobnych”.
  • Jeśli uruchomiłeś instalator z 7zip[.]com: traktuj system jako skompromitowany (takie ostrzeżenie pada w omówieniu sprawy).
  • Sprawdź:
    • obecność katalogu C:\Windows\SysWOW64\hero\ oraz plików Uphero.exe/hero.exe/hero.dll,
    • usługi Windows uruchamiane automatycznie jako SYSTEM,
    • nietypowe reguły zapory dodane narzędziami systemowymi (np. ślady użycia netsh).
  • Wykonaj pełne skanowanie EDR/AV i rozważ reinstalację/odtworzenie z zaufanego obrazu, jeśli potwierdzisz infekcję (proxyware często jest projektowane tak, by utrzymać się długo).

Dla zespołów bezpieczeństwa (SOC/IT)

  • Monitoruj tworzenie nowych usług i zmiany w regułach Windows Firewall (szczególnie na stacjach użytkowników).
  • Wykrywaj ruch na nietypowych portach i wzorce „proxy-like” (utrzymujące się połączenia wychodzące, rotacja domen, TLS/HTTPS do nietypowych hostów).
  • Edukuj: „pobieraj z oficjalnej domeny, bookmarkuj, nie ufaj linkom z tutoriali/komentarzy”.

Różnice / porównania z innymi przypadkami (jeśli dotyczy)

  • Proxyware vs ransomware/stealer: tu monetyzacja nie polega na natychmiastowej kradzieży danych lub szyfrowaniu, tylko na „wynajęciu” Twojego IP/łącza. To sprawia, że incydent jest często później wykrywany (brak oczywistych objawów).
  • Lookalike domain + działająca aplikacja to szczególnie groźne połączenie: użytkownik ma „dowód”, że pobrał właściwe narzędzie, bo ono realnie działa.

Podsumowanie / kluczowe wnioski

Fałszywa strona 7zip[.]com to przykład skutecznej kampanii opartej o podszywanie się pod markę i minimalny „szum” na hoście. Instalator dostarcza prawdziwy 7-Zip, a równolegle wdraża proxyware (Uphero/hero), tworzy usługę SYSTEM i przygotowuje host do routowania ruchu osób trzecich.

Jeśli w Twoim środowisku ktoś pobrał 7-Zip z niewłaściwej domeny, potraktuj to jako incydent bezpieczeństwa: zidentyfikuj artefakty, sprawdź usługi, reguły firewall i ruch sieciowy oraz podejmij działania naprawcze.

Źródła / bibliografia

  1. BleepingComputer – „Malicious 7-Zip site distributes installer laced with proxy tool” (10 lutego 2026). (BleepingComputer)
  2. Malwarebytes Threat Intel – „Fake 7-Zip downloads are turning home PCs into proxy nodes” (9 lutego 2026). (Malwarebytes)
  3. Help Net Security – omówienie ostrzeżeń Malwarebytes i kontekstu dystrybucji przez tutoriale (10 lutego 2026). (Help Net Security)
  4. MITRE ATT&CK – Masquerading: Match Legitimate Resource Name or Location (T1036.005). (attack.mitre.org)