В сети выявлена масштабная кампания по распространению вредоносного программного обеспечения, замаскированного под популярный архиватор 7-Zip. Злоумышленники используют специально созданный сайт, который полностью копирует внешний вид официального ресурса проекта, чтобы вводить пользователей в заблуждение и устанавливать на их компьютеры троянский модуль. Зараженные устройства впоследствии объединяются в резидентную прокси-сеть, используемую для анонимизации трафика киберпреступников.
Механизм заражения и маскировка
Инцидент получил огласку после жалобы пользователя, который загрузил программу, следуя рекомендациям из видеоурока на YouTube. Источником угрозы стал домен 7zip[.]com, визуально и структурно имитирующий легитимный сайт 7-zip.org.
Специалисты компании Malwarebytes проанализировали распространяемый файл и обнаружили, что он снабжен цифровой подписью, выданной на имя Jozeal Network Technology Co., Limited. На данный момент действие сертификата прекращено. При запуске инфицированный дистрибутив корректно устанавливает сам архиватор 7-Zip, не вызывая подозрений у пользователя, но в фоновом режиме распаковывает вредоносные компоненты.
Одними из первых вредоносный ресурс начали блокировать и детектировать антивирусные решения от «Лаборатории Касперского», ADMINUSLabs и Seclookup, пометившие сайт как опасный источник ПО.
Технические особенности работы трояна
В системную директорию C:\Windows\SysWOW64\hero\ скрытно устанавливаются три файла: Uphero.exe (менеджер обновлений), hero.exe (основной прокси-модуль) и библиотека hero.dll. Для обеспечения автозагрузки создается служба Windows с правами системы (SYSTEM), а через утилиту netsh вносятся изменения в правила брандмауэра для разрешения сетевой активности.
После закрепления в системе программа проводит детальный анализ конфигурации оборудования. Она собирает технические характеристики процессора, памяти, дисковой подсистемы и сетевых адаптеров, используя инструменты Windows Management Instrumentation (WMI). Полученные данные отправляются на удаленный сервер iplogger[.]org. Основная задача зловреда — превращение компьютера жертвы в узел прокси-сети, через который третьи лица могут перенаправлять свой трафик, скрывая реальный IP-адрес.
Особое внимание разработчики трояна уделили защите от анализа. Вредоносный код умеет определять, запущен ли он в виртуальной среде. Проверка осуществляется на наличие признаков таких платформ виртуализации, как VMware, VirtualBox, QEMU и Parallels, а также на присутствие отладчиков.
Текущий статус угрозы
Расследование показало, что данная схема является частью более крупной инфраструктуры, использующей поддельные установщики для популярных программ, таких как HolaVPN, TikTok, WhatsApp и Wire VPN. Вредонос использует защищенные каналы связи через Cloudflare и и протокол DNS-over-HTTPS для сокрытия активности.
На момент публикации на сайте 7zip[.]com размещен официальный, безопасный установочный файл архиватора, который был впервые загружен в репозитории еще в августе 2025 года. Однако эксперты предупреждают, что ресурсу нельзя доверять: администраторы домена могут в любой момент снова подменить файл на инфицированную версию.
Угрозы безопасности
• Bing AI продвигал поддельный GitHub-репозиторий OpenClaw с инфостилером
• Google: злоумышленники использовали в атаках 90 уязвимостей нулевого дня в прошлом году
• Атака ClawJacked — перебор паролей через localhost и полный захват OpenClaw
• Публичные Google API-ключи открыли доступ к данным Gemini AI
• Zyxel предупреждает о критической уязвимости UPnP, затрагивающей более десятка маршрутизаторов
• Уязвимость автозаполнения: как браузеры отдают данные через скрытые формы