Un sitio web similar al popular compresor 7-Zip ha estado distribuyendo
un instalador troyanizado que convierte silenciosamente las
computadoras de las víctimas en nodos proxies residenciales, y ha estado
oculto a plena vista durante algún tiempo.
Un ensamblador de computadoras se dió cuenta de que había descargado 7-Zip del
sitio web equivocado.
Siguiendo un tutorial de YouTube, se le indicó que descargara la aplicación
de 7zip[.]com (sin guión), sin saber que el proyecto legítimo se aloja exclusivamente en
7-zip.org.
En su publicación de Reddit, el usuario describió cómo instaló el archivo
primero en una computadora portátil y luego lo transfirió por USB a una
computadora de escritorio recién construida. Se encontraron con repetidos
errores de 32 bits frente a 64 bits y finalmente abandonaron el instalador en
favor de las herramientas de extracción integradas de Windows. Casi dos
semanas después, Microsoft Defender alertó al sistema con una detección
genérica de malware.
Esta experiencia ilustra cómo una confusión de dominio aparentemente menor
puede resultar en un uso no autorizado y prolongado de un sistema cuando los
atacantes se hacen pasar por distribuidores de software confiables.
Un instalador troyanizado que se hace pasar por software legítimo
Este no es un simple caso de una descarga maliciosa alojada en un sitio web
aleatorio. Los operadores de 7zip[.]com distribuyeron un instalador
troyanizado a través de un dominio similar, entregando una copia funcional del
administrador de archivos 7-Zip junto con una carga útil de malware oculta.
El instalador está firmado con Authenticode mediante un certificado emitido a
Jozeal Network Technology Co., Limited, ahora revocado, lo que le otorga una
legitimidad superficial. Durante la instalación, se implementa una compilación
modificada de 7zfm.exe que funciona correctamente, reduciendo las
sospechas del usuario. En paralelo, se instalan silenciosamente tres
componentes adicionales:
-
Uphero.exe:
un gestor de servicios y cargador de actualizaciones -
hero.exe:
la carga útil principal del proxy (compilada con Go) -
hero.dll:
una biblioteca de soporte
Todos los componentes se escriben en C:\Windows\SysWOW64\hero\, un
directorio privilegiado que es poco probable que se inspeccione manualmente.
También se observó un canal de actualización independiente en
update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, lo que
indica que la carga útil del malware puede actualizarse independientemente del
propio instalador.
Abuso de canales de distribución confiables
Uno de los aspectos más preocupantes de esta campaña es su dependencia de la
confianza de terceros. El caso de Reddit señala los tutoriales de YouTube como
un vector de distribución involuntaria de malware, donde los creadores hacen
referencia incorrectamente al «.com» en lugar del dominio legítimo.
Esto demuestra cómo los atacantes pueden explotar pequeños errores en
ecosistemas de contenido que, de otro modo, serían inofensivos para dirigir a
las víctimas hacia infraestructura maliciosa a gran escala.
Flujo de ejecución
El análisis del comportamiento muestra una cadena de infección rápida y
metódica:
1. Implementación de archivos: La carga útil se instala en SysWOW64, lo
que requiere privilegios elevados y la intención de una integración profunda
en el sistema.
2. Persistencia a través de servicios de Windows: Tanto Uphero.exe como
hero.exe se registran como servicios de Windows de inicio automático
que se ejecutan con privilegios del sistema, lo que garantiza su ejecución en
cada arranque.
3. Manipulación de reglas de firewall: El malware invoca netsh para
eliminar las reglas existentes y crear nuevas reglas de permiso de entrada y
salida para sus binarios. Esto tiene como objetivo reducir la interferencia
con el tráfico de red y permitir actualizaciones fluidas de la carga útil.
4. Perfilado del host: Mediante WMI y las API nativas de Windows, el malware
enumera las características del sistema, incluyendo identificadores de
hardware, tamaño de memoria, número de CPU, atributos de disco y configuración
de red. El malware se comunica con iplogger[.]org a través de un
endpoint dedicado a la generación de informes, lo que sugiere que
recopila y reporta metadatos del dispositivo o de la red como parte de su
infraestructura de proxy.
Objetivo funcional: monetización de proxy residencial
Si bien los indicadores iniciales sugerían capacidades de tipo puerta trasera,
un análisis posterior reveló que la función principal del malware es el
proxyware. El host infectado se registra como nodo proxy residencial,
lo que permite a terceros enrutar el tráfico a través de la dirección IP de la
víctima.
El componente hero.exe recupera datos de configuración de dominios de
comando y control rotativos con temática «smshero» y luego establece
conexiones proxy salientes en puertos no estándar como el 1000 y el
1002. El análisis de tráfico muestra un protocolo ligero con codificación XOR
(clave 0x70) utilizado para ocultar los mensajes de control.
Esta infraestructura es consistente con los servicios de proxy residencial
conocidos, donde el acceso a direcciones IP reales de consumidores se vende
con fines de fraude, scraping, abuso de publicidad o blanqueo de
anonimato.
La suplantación de identidad de 7-Zip parece formar parte de una operación más
amplia. Se han identificado binarios relacionados con nombres como
upHola.exe, upTiktok, upWhatsapp y upWire, todos
con tácticas, técnicas y procedimientos idénticos:
- Implementación en SysWOW64
- Persistencia de servicios de Windows
- Manipulación de reglas de firewall mediante netsh
- Tráfico HTTPS C2 cifrado
Las cadenas incrustadas que hacen referencia a marcas de VPN y proxy sugieren
un backend unificado que admite múltiples frentes de distribución.
Infraestructura rotatoria y transporte cifrado
El análisis de memoria reveló un amplio conjunto de dominios de comando y
control codificados que utilizan las convenciones de nomenclatura
hero y smshero. La resolución activa durante la ejecución en
sandbox mostró que el tráfico se enrutaba a través de la
infraestructura de Cloudflare con sesiones HTTPS cifradas con TLS.
El malware también utiliza DNS sobre HTTPS a través del solucionador de
Google, lo que reduce la visibilidad para la monitorización tradicional de DNS
y dificulta la detección basada en la red.
Funciones de evasión y antianálisis
El malware incorpora múltiples capas de sandbox y evasión de análisis:
-
Detección de máquinas virtuales dirigidas a VMware, VirtualBox, QEMU y
Parallels - Comprobaciones antidepuración y carga sospechosa de DLL de depuración
- Resolución de API en tiempo de ejecución e inspección de PEB
- Enumeración de procesos, sondeo del registro e inspección del entorno
La compatibilidad con cifrado es amplia, incluyendo AES, RC4, Camellia,
Chaskey, codificación XOR y Base64, lo que sugiere un manejo cifrado de la
configuración y protección del tráfico.
Guía de defensa
Cualquier sistema que haya ejecutado instaladores de 7zip[.]com debe
considerarse comprometido.
Si bien este malware establece persistencia a nivel de System y
modifica las reglas del firewall, un software de seguridad fiable puede
detectar y eliminar eficazmente los componentes maliciosos. En sistemas de
alto riesgo o con un uso intensivo, algunos usuarios podrían optar por una
reinstalación completa del sistema operativo para una seguridad absoluta, pero
no es estrictamente necesario en todos los casos.
Los usuarios y defensores deben:
-
Verificar las fuentes del software y marcar como favoritos los dominios
oficiales del proyecto. - Tratar con escepticismo las identidades de firma de código inesperadas.
-
Supervisar servicios de Windows no autorizados y cambios en las reglas del
firewall. - Bloquear dominios C2 conocidos y endpoints proxy en el perímetro de la red.
- Atribución de investigadores y análisis de la comunidad.
Esta investigación no habría sido posible sin el trabajo de investigadores de
seguridad independientes que profundizaron más allá de los indicadores
superficiales e identificaron el verdadero propósito de esta familia de
malware.
-
Luke Acha proporcionó el
primer análisis exhaustivo
que demuestra que el malware Uphero/hero funciona como proxyware
residencial en lugar de una puerta trasera tradicional. Su trabajo documentó
el protocolo proxy, los patrones de tráfico y el modelo de monetización, y
conectó esta campaña con una operación más amplia que denominó upStage
Proxy. -
s1dhy amplió este análisis
revirtiendo y decodificando el protocolo de comunicación personalizado
basado en XOR, validando el comportamiento del proxy mediante capturas de
paquetes y correlacionando múltiples endpoints proxy con las
geolocalizaciones de las víctimas. -
Andrew Danis
contribuyó con análisis adicionales de infraestructura y agrupación, lo que ayudó a vincular el instalador falso de 7-Zip con campañas de
proxyware relacionadas que abusan de otras marcas de software. -
Los investigadores
RaichuLab de Qiita y
WizSafe Security de IIJ publicaron una validación técnica adicional y un análisis
dinámico.
Fuente:
MalwareBytes