Эксперты по кибербезопасности раскрыли дополнительные детали масштабной кампании, в рамках которой злоумышленники распространяли модифицированный установщик архиватора 7-Zip через поддельный сайт 7zip[.]com. Ресурс визуально и структурно копировал официальный сайт проекта 7-zip.org, что позволяло эффективно вводить пользователей в заблуждение.
Инцидент получил огласку после жалобы пользователя, который скачал архиватор по ссылке из обучающего видео на YouTube. Анализ показал, что загружаемый файл был подписан цифровым сертификатом, выданным на имя Jozeal Network Technology Co., Limited. Несмотря на то что сертификат впоследствии был отозван, на момент распространения он придавал установщику видимость легитимного ПО.
При запуске заражённый дистрибутив корректно устанавливал настоящий 7-Zip, не вызывая подозрений, однако параллельно в фоновом режиме разворачивал вредоносные компоненты. В каталоге
создавались файлы Uphero.exe, hero.exe и hero.dll. Для закрепления в системе вредонос регистрировал службу Windows с правами SYSTEM и вносил изменения в правила брандмауэра через netsh, разрешая постоянную сетевую активность.
После установки троян собирал детальные сведения о системе — параметры процессора, объём памяти, дисковую подсистему и сетевые адаптеры — используя интерфейсы WMI. Эти данные отправлялись на удалённый сервер iplogger[.]org. Основная функция вредоносного ПО заключалась в превращении заражённого компьютера в узел резидентной прокси-сети, через который третьи лица могли проксировать трафик, скрывая своё реальное местоположение и IP-адрес.
Дополнительный анализ показал, что вредонос использует DNS-over-HTTPS (DoH) и инфраструктуру Cloudflare для маскировки сетевых соединений, а также умеет определять запуск в виртуальных средах (VMware, VirtualBox, QEMU, Parallels) и наличие отладчиков, прекращая работу при попытках анализа.
Исследователи отмечают, что данная кампания является частью более широкой инфраструктуры. Аналогичные троянизированные установщики ранее фиксировались для других популярных приложений, включая HolaVPN, TikTok, WhatsApp и Wire VPN, что указывает на устойчивую схему монетизации через прокси-сети.
Одними из первых поддельный ресурс начали блокировать антивирусные решения от «Лаборатории Касперского», ADMINUSLabs и Seclookup, пометившие 7zip[.]com как опасный источник программного обеспечения.
На момент публикации на сайте 7zip[.]com размещён легитимный установщик 7-Zip, впервые загруженный в репозитории ещё в августе 2025 года. Тем не менее специалисты подчёркивают, что доверять этому домену нельзя: файл может быть вновь подменён в любой момент. Пользователям рекомендуется загружать архиватор исключительно с официального сайта 7-zip.org, а системы, на которые ранее устанавливался дистрибутив с 7zip[.]com, рассматривать как потенциально скомпрометированные и проверять на наличие прокси-модулей и подозрительных служб.
Источник
Инцидент получил огласку после жалобы пользователя, который скачал архиватор по ссылке из обучающего видео на YouTube. Анализ показал, что загружаемый файл был подписан цифровым сертификатом, выданным на имя Jozeal Network Technology Co., Limited. Несмотря на то что сертификат впоследствии был отозван, на момент распространения он придавал установщику видимость легитимного ПО.
При запуске заражённый дистрибутив корректно устанавливал настоящий 7-Zip, не вызывая подозрений, однако параллельно в фоновом режиме разворачивал вредоносные компоненты. В каталоге
C:\Windows\SysWOW64\hero\создавались файлы Uphero.exe, hero.exe и hero.dll. Для закрепления в системе вредонос регистрировал службу Windows с правами SYSTEM и вносил изменения в правила брандмауэра через netsh, разрешая постоянную сетевую активность.
После установки троян собирал детальные сведения о системе — параметры процессора, объём памяти, дисковую подсистему и сетевые адаптеры — используя интерфейсы WMI. Эти данные отправлялись на удалённый сервер iplogger[.]org. Основная функция вредоносного ПО заключалась в превращении заражённого компьютера в узел резидентной прокси-сети, через который третьи лица могли проксировать трафик, скрывая своё реальное местоположение и IP-адрес.
Дополнительный анализ показал, что вредонос использует DNS-over-HTTPS (DoH) и инфраструктуру Cloudflare для маскировки сетевых соединений, а также умеет определять запуск в виртуальных средах (VMware, VirtualBox, QEMU, Parallels) и наличие отладчиков, прекращая работу при попытках анализа.
Исследователи отмечают, что данная кампания является частью более широкой инфраструктуры. Аналогичные троянизированные установщики ранее фиксировались для других популярных приложений, включая HolaVPN, TikTok, WhatsApp и Wire VPN, что указывает на устойчивую схему монетизации через прокси-сети.
Одними из первых поддельный ресурс начали блокировать антивирусные решения от «Лаборатории Касперского», ADMINUSLabs и Seclookup, пометившие 7zip[.]com как опасный источник программного обеспечения.
На момент публикации на сайте 7zip[.]com размещён легитимный установщик 7-Zip, впервые загруженный в репозитории ещё в августе 2025 года. Тем не менее специалисты подчёркивают, что доверять этому домену нельзя: файл может быть вновь подменён в любой момент. Пользователям рекомендуется загружать архиватор исключительно с официального сайта 7-zip.org, а системы, на которые ранее устанавливался дистрибутив с 7zip[.]com, рассматривать как потенциально скомпрометированные и проверять на наличие прокси-модулей и подозрительных служб.
Источник
