Il a récemment lancé une campagne de transplantation qui utilise comme un crochet un installateur malveillant qui semble être 7-Zip, le célèbre programme de compression. Au lieu d'inclure simplement l'application légitime, le paquet téléchargeable cache un composant malveillant dont l'objectif principal n'est pas de voler des fichiers ou de chiffrer des disques, mais de convertir le PC de la victime en un nœud mandataire résidentiel qui relie le trafic étranger par sa connexion.
La recherche publiée par Malhareoctets détails le fonctionnement de l'installateur trotted: en plus d'installer 7-Zip real pour éviter les soupçons, l'installateur laisse trois exécutables malveillants dans le système (y compris les fichiers identifiés comme Uphero.exe, héro.exe et héro.dll) à l'intérieur C:\ Windows\ SysWOW64\ héro\, crée un service de démarrage automatique qui fonctionne avec les privilèges SYSTEM et modifie les règles de pare-feu via l'utilitaire netsh pour accepter les connexions entrantes et sortantes. Cette configuration permet aux attaquants de diriger le trafic via l'IP de la machine infectée, faisant partie de l'équipe d'un réseau de proxies à domicile.
Ce type de proxyware a des utilisations légitimes dans certains réseaux de trafic distribués, mais dans les mains des criminels, il sert à cacher la source des attaques, éviter les blocages géographiques, monter des campagnes crédentales de rembourrage, distribuer le phishing ou diffuser des logiciels malveillants. Dans le cas analysé, les opérateurs collectent également les informations de la machine cible en utilisant WMI et les appels vers les API Windows - informations CPU, mémoire, disque et connectivité - et envoient ces données à un service d'enregistrement à distance pour cataloguer et gérer les nœuds recrutés.
Les analyses techniques montrent que la configuration des principales requêtes exécutables à partir de domaines avec des motifs "hero / smshero" qui tournent, et que la communication de contrôle est cryptée et ostratée avec un schéma XOR léger. Le trafic est dirigé par l'infrastructure Cloudflare et voyage sur HTTPS, ainsi que l'utilisation de DNS sur HTTPS avec le résolveur Google, ce qui réduit la visibilité des consultations DNS traditionnelles et complique la détection par les défenseurs qui surveillent les résolutions normales. Il intègre également des contrôles pour détecter les environnements virtualisés (VMware, VirtualBox, QEMU, Parallels) et le débogage, comportement typique pour éviter d'être analysé dans les laboratoires médico-légaux.
Ceux qui ont enquêté et donné la voix de l'alarme comprennent plusieurs chercheurs indépendants et équipes DFIR: trouver le but réel de malware est documenté par Luc Acha, alors que l'inversion du protocole XOR et la confirmation du comportement proxy sont attribuées à des publications techniques liées à des profils X tels que ceux de s1dhy et la corrélation avec une campagne plus large a été commentée par Andrew Danis. En outre, des moyens tels que Calculateur Ils ont corroboré l'existence du faux site qui est affiché sur le site officiel de 7-Zip.
Un détail important pour la chaîne de confiance: l'installateur malveillant a été signé numériquement avec un certificat qui a été ultérieurement révoqué, initialement délivré à Jozeal Network Technology Co., Limited. La présence d'une entreprise ne garantit pas la sécurité automatique, mais l'examen des signatures numériques et leur contraste avec le site officiel du projet est l'un des contrôles de base qui peuvent sauver des problèmes.
L'inquiétude est que la campagne ne se limite pas au remplacement de 7 Zip. Selon l'analyse, les attaquants utilisent des installateurs échoués se présentant comme d'autres applications populaires, comme les clients VPN et les applications de messagerie, afin d'élargir leur réseau de nœuds proxy. Le recrutement d'appareils est utilisé comme tactique d'ingénierie sociale : des liens dans des tutoriels et des vidéos sur des plateformes telles que YouTube ou des résultats promus dans des moteurs de recherche qui pointent vers des domaines qui imitent les originaux.
Pour réduire les risques, il est approprié de récupérer certaines pratiques simples: télécharger le logiciel toujours à partir des pages officielles (par exemple, le site 7-Zip légitime est sur https: / / www.7-zip.org), sauf dans les favoris les portails de confiance et les liens de méfiance ancrés dans les descriptions vidéo ou dans les annonces. Si un installateur suspect a déjà été exécuté, il est recommandé de déconnecter la machine du réseau, d'examiner l'existence de dossiers et de services avec les noms indiqués, d'inspecter les règles de pare-feu et de rechercher des communications sortantes inhabituelles ; pour obtenir des indicateurs de compromis et des détails plus techniques, vous pouvez voir la publication Malharebytes mentionnée ci-dessus.
Si vous pensez que votre équipement a été compromis, la mesure la plus sûre est de l'isoler et d'utiliser un support professionnel: l'élimination complète dans de nombreux cas implique la restauration d'une sauvegarde propre ou la réinstallation du système d'exploitation, parce que les services malveillants qui commencent par SYSTEM et les modifications du réseau peuvent laisser les portes arrière difficiles à éradiquer avec les nettoyants de surface.
En bref, cette campagne rappelle que les agresseurs combinent l'ingénierie sociale avec les techniques d'obfuscation et avec une infrastructure moderne de commandement et de contrôle pour transformer l'équipement domestique en ressources exploitables. La mise à jour des logiciels, la vérification des sources et des signatures et l'utilisation de l'information technique publiée par les chercheurs et les entreprises de cybersécurité - comme les rapports liés ici - sont des mesures pratiques pour réduire la probabilité d'être un autre élément dans un réseau de procurations à domicile.
La jeunesse ukrainienne de 18 ans dirige un réseau d'infostealers qui a violé 28 000 comptes et laissé 250 000 $ en pertes
Les autorités ukrainiennes, en coordination avec les agents américains. Ils se sont concentrés sur une opération de infostealer Selon la Cyber Police ukrainienne, Odessa aurait ...
La signature numérique est en contrôle : Microsoft désigne un service qui a transformé les logiciels malveillants en logiciels apparemment légitimes
Microsoft a annoncé la désarticulation d'une opération "malware-signing-as-a-service" qui a exploité son système de signature de périphérique pour convertir le code malveillant ...
Un seul jeton GitHub a ouvert la porte à la chaîne d'approvisionnement du logiciel
Un seul jeton GitHub a échoué dans la rotation et a ouvert la porte. C'est la conclusion centrale de l'incident dans Grafana Labs suite à la récente vague de paquets malveillant...
WebWorm 2025: le malware qui est caché dans Discord et Microsoft Graphh pour échapper à la détection
Les dernières observations des chercheurs en cybersécurité font état d'un changement de tactique inquiétante d'un acteur lié à la Chine, connu sous le nom de WebWorm: en 2025, e...
L'identité n'est plus suffisante : vérification continue de l'appareil pour la sécurité en temps réel
L'identité reste l'épine dorsale de nombreuses architectures de sécurité, mais aujourd'hui, cette colonne se fissure sous de nouvelles pressions : phishing avancé, kits d'authen...
La question sombre de l'identité change les règles de la sécurité des entreprises
The Identity Gap: Snapshot 2026 rapport publié par Orchid Security met les chiffres à une tendance dangereuse: la « matière sombre » de l'identité - comptes et références qui ne...
PinTheft l'explosion publique qui pourrait vous donner racine sur Arch Linux
Une nouvelle explosion publique a fait ressortir la fragilité du modèle de privilèges Linux : l'équipe de sécurité V12 a qualifié l'échec de Vol d'épingles et publié un test de ...