Recentemente afloraram uma campanha de suplantação que utiliza como anzóis um instalador malicioso que aparenta ser 7-Zip, o famoso programa de compressão. Em vez de limitar-se a incluir a aplicação legítima, o pacote de download oculta um componente malicioso cujo objetivo principal não é roubar arquivos ou cifrar discos, mas converter o PC da vítima em um nó de proxy residencial que enruta tráfego alheio através da sua conexão.
A pesquisa publicada por Malwarebytes detalha o funcionamento do instalador troceado: além de instalar 7‐Zip real para não levantar suspeitas, o instalador deixa três executáveis maliciosos no sistema (incluindo arquivos identificados como Uphero.exe, hero.exe e hero.dll) dentro de C:\Windows\SysWOW64\hero\, cria um serviço de inicialização automático que corre com privilégios SYSTEM e modifica regras de firewall através da utilidade netsh para aceitar conexões entrantes e salientes. Essa configuração permite que atacantes dirijam tráfego através do IP da máquina infectada, o que converte a equipe em parte de uma rede de proxies domiciliares.
Este tipo de proxyware tem usos legítimos em algumas redes de tráfego distribuído, mas nas mãos de criminosos serve para ocultar a procedência de ataques, contornar bloqueios geográficos, montar campanhas de credential stuffing, distribuir phishing ou propagar malware. No caso analisado, os operadores também coletam informações da máquina alvo por WMI e chamadas às APIs do Windows — informação sobre CPU, memória, disco e conectividade — e enviam esses dados para um serviço de registro remoto para catalogar e gerenciar os nós recrutados.
As análises técnicas mostram que o executável principal requer configuração de domínios com padrões “hero/smshero” que rotam, e que a comunicação de controle está cifrada e ofuscada com um esquema XOR leve. O tráfego é encaminhado através da infraestrutura de Cloudflare e viaja sobre HTTPS, além de usar DNS over HTTPS com o resolvedor do Google, o que reduz a visibilidade das consultas DNS tradicionais e complica a detecção por parte de defensores que monitorizem resoluções normais. Também incorpora verificações para detectar ambientes virtualizados (VMware, VirtualBox, QEMU, Parallels) e depuradores, comportamento típico para evitar ser analisado em laboratórios forenses.
Aqueles que investigaram e deram a voz de alarme incluem vários pesquisadores independentes e equipes de DFIR: o achado do propósito real do malware está documentado por Luke Acha, enquanto a reversão do protocolo XOR e a confirmação do comportamento proxy são atribuídas a publicações técnicas ligadas a perfis em X como as de s1dhy e a correlação com uma campanha mais ampla foi comentada por Andrew Danis. Além disso, meios como BleepingComputer Eles corroboraram a existência do site falso que se faz passar pela web oficial de 7-Zip.
Um detalhe importante para a cadeia de confiança: o instalador malicioso estava assinado digitalmente com um certificado que posteriormente foi revogado, originalmente emitido à Jozeal Network Technology Co., Limited. A presença de uma assinatura não garante inocuidade automática, mas revisar assinaturas digitais e contrastar com a web oficial do projeto é uma das verificações básicas que podem economizar problemas.
O preocupante é que a campanha não se limita à suplantação de 7-Zip. De acordo com a análise, os atacantes usam instaladores troceados fazendo-se passar por outras aplicações populares, como clientes VPN e apps de mensagens, para ampliar sua rede de nodos proxy. O recrutamento de dispositivos serve-se de táticas de engenharia social: links em tutoriais e vídeos em plataformas como YouTube ou resultados promovidos em buscadores que apontam para domínios que imitam os originais.
Para reduzir o risco, é conveniente recuperar algumas práticas simples: baixar software sempre a partir das páginas oficiais (por exemplo, a web legítima de 7-Zip está em https://www.7-zip.org), guardar em favoritos os portais de confiança e desconfiar de ligações ancoradas em descrições de vídeo ou em anúncios. Se já foi executado um instalador suspeito, é recomendável desligar a máquina da rede, rever a existência de pastas e serviços com os nomes indicados, inspeccionar regras de firewall e procurar comunicações salientes invulgares; para obter indicadores de compromisso e mais detalhes técnicos, consultar a publicação de Malwarebytes acima mencionada.
Se você acredita que sua equipe tem sido comprometida, a medida mais segura é isolar e recorrer a suporte profissional: a eliminação completa em muitos casos implica restaurar desde uma cópia de segurança limpa ou reinstalar o sistema operacional, porque os serviços maliciosos que arrancam com SYSTEM e as modificações de rede podem deixar portas traseiras difíceis de erradicar com limpezas superficiais.
Em suma, esta campanha lembra que os atacantes combinam engenharia social com técnicas de ofuscação e com uma infraestrutura de comando e controle moderna para converter equipamentos domésticos em recursos exploáveis. Manter o software atualizado, verificar fontes e empresas, e recorrer a informações técnicas publicadas por pesquisadores e empresas de cibersegurança, como os relatórios ligados aqui, são passos práticos para reduzir a probabilidade de ser uma peça mais em uma rede de proxies domiciliares.
Jovem ucraniano de 18 anos lidera uma rede de infostealers que violou 28.000 contas e deixou perdas de 250 mil dólares
As autoridades ucranianas, em coordenação com agentes dos EUA. Os EUA puseram o foco numa operação. infostealer que, segundo a Polícia Cibernética da Ucrânia, teria sido adminis...
A assinatura digital está em jaque: Microsoft desmantela um serviço que tornou malware em software aparentemente legítimo
A Microsoft anunciou a desarticulação de uma operação de "malware‐signing‐as‐a-service" que explorava seu sistema de assinatura de artefatos para converter código malicioso em b...
Um único token de workflow do GitHub abriu a porta para a cadeia de fornecimento de software
Um único token de workflow do GitHub falhou na rotação e abriu a porta. Essa é a conclusão central do incidente em Grafana Labs após a recente onda de pacotes maliciosos publica...
Webworm 2025: o malware que se esconde em Discord e Microsoft Graph para evitar a detecção
As últimas observações de pesquisadores em cibersegurança apontam uma mudança de táticas preocupantes de um ator ligado à China conhecido como Webworm: Em 2025, ele introduziu p...
A identidade já não basta: a verificação contínua do dispositivo para uma segurança em tempo real
A identidade continua sendo a coluna vertebral de muitas arquiteturas de segurança, mas hoje essa coluna está se agride sob novas pressões: phishing avançado, kits que proxyam a...
A matéria escura da identidade está mudando as regras da segurança corporativa
O relatório Identity Gap: Snapshot 2026 publicado por Orchid Security coloca números a uma tendência perigosa: a "matéria escura" de identidade —contas e credenciais que não se ...
PinTheft o exploit público que pode ser root no Arch Linux
Um novo exploit público levou à superfície novamente a fragilidade do modelo de privilégios no Linux: a equipe de V12 Security baniu a falha como PinTheft e publicou um teste de...