Derrière une copie parfaitement fonctionnelle de 7-Zip, les chercheurs de Malwarebytes ont identifié un malware chargé d’enrôler la machine infectée dans un réseau proxy résidentiel, à l’insu de la victime.
Le cas remonte début février, lorsqu’un utilisateur publie un message alarmé sur Reddit. Il explique avoir d’abord installé 7-Zip sur un ancien PC portable, avant de copier l’installeur sur une clé USB pour l’utiliser sur sa nouvelle machine. Quelques erreurs système plus tard, il abandonne et utilise l’outil d’extraction intégré à Windows. Deux semaines passent, jusqu’à ce qu’une alerte Microsoft Defender signale un trojan. L’analyse menée par Malwarebytes révèle alors une campagne structurée, toujours active, qui détourne la bande passante de victimes peu méfiantes en s’appuyant sur des installeurs modifiés de 7-Zip.
Offre partenaire
Protection avancée des e-mails, des calendriers, des mots de passe, du réseau… de votre entreprise grâce à la suite d'applications professionnelles sécurisées.
Offre partenaire
Un faux site, un vrai 7-Zip… et des machines enrôlées à leur insu
Tout s’est joué à un tiret, ou presque. Après avoir suivi un tuto sur YouTube, la victime a atterri sur 7zip[.]com au lieu de 7-Zip.org, copie quasi conforme du site officiel, reprenant à la fois l’apparence et le contenu de l’original.
Analysé par les équipes de Malwarebytes, le logiciel téléchargé (7zfm.exe) fonctionne a priori correctement, mais dépose, au moment de son installation, trois fichiers supplémentaires dans un répertoire système (C:\Windows\SysWOW64\hero\) : uphero.exe, un gestionnaire de service et de mise à jour, hero.exe, la charge principale compilée en Go, et hero.dll, une bibliothèque de support.
En parallèle, les deux exécutables malveillants sont enregistrés comme services Windows, configurés pour se relancer automatiquement à chaque démarrage, manipulent les règles du pare-feu pour autoriser les connexions réseau entrantes et sortantes, et procèdent au profilage de la machine afin de l’intégrer à une infrastructure proxy opérée par les cybercriminels.
Car c’est bien de cela qu’il s’agit : transformer un PC en relais pour permettre à des tiers de faire transiter leur connexion via l’adresse IP d’une machine compromise, et ainsi dissimuler l’origine d’un trafic malveillant, contourner des restrictions géographiques, collecter massivement des données en ligne, mener des campagnes de fraude publicitaire ou tester des identifiants volés à grande échelle. Le genre d’accès résidentiel qui trouve facilement preneur sur les places de marché clandestines, et peut finir exploité dans le cadre d’opérations automatisées plus larges, y compris des campagnes pilotées par un botnet.
D’autres cibles, mêmes techniques, mêmes réflexes
D’après Malwarebytes, des variantes similaires ont été identifiées derrière des campagnes usurpant les identités de services populaires comme TikTok, WhatsApp ou les VPN Hola et Wire, avec les mêmes méthodes d’installation et de persistance. L’ensemble suggère une infrastructure mutualisée, pensée pour alimenter un service proxy à grande échelle.
Si vous avez récemment téléchargé 7-Zip, prenez le temps de vérifier si le dossier hero a été créé dans le répertoire C:\Windows\SysWOW64\. Le cas échéant, votre machine a exécuté une version infectée du logiciel. Il faut alors désinstaller 7-Zip ou supprimer la version portable si c’est celle que vous avez utilisée, puis lancer un scan antivirus ou antimalware à jour pour éliminer les composants résiduels.
On rappellera enfin qu’il est toujours préférable de rechercher soi-même le site officiel d’un outil plutôt que de suivre un lien intégré dans une vidéo ou un tutoriel édité par des quidams. Pas forcément plus intuitif, mais toujours plus sûr.
Source : Malwarebytes
