È scattato l’allarme online in queste ore per falsi download 7-Zip che stanno mettendo in pericolo milioni di utenti e che ne hanno colpiti e affondati diversi. A segnalare ufficialmente questa campagna cybercriminale è stata Malwarebytes, societa di sicurezza informatica. Tutto è iniziato con il commento di un assemblatore di computer che, rivolgendosi alla comunità r/pcmasterrace di Reddit, in preda al panico si è reso conto di aver scaricato 7-Zip dal sito web sbagliato.
In pratica, è online un sito web sosia convincente del famoso programma di archiviazione 7-Zip. Questa pagina fraudolenta ha diffuso un programma di installazione contenente un trojan che converte i computer delle vittime in nodi proxy residenziali, rimanendo nascosto senza destare sospetti. Insomma, un rischio particolarmente elevato anche perché al momento è stato individuato un solo sito sosia, ma gli esperti non possono confermare che sia l’unico clone online
Gli esperti di Malwarebytes, in merito all’episodio dell’assemblatore di computer, hanno precisato: “Seguendo un tutorial su YouTube per una nuova build, gli è stato chiesto di scaricare 7-Zip da 7zip[.]com, ignaro del fatto che il progetto legittimo fosse ospitato esclusivamente su 7-zip.org. Quasi due settimane dopo, Microsoft Defender ha segnalato il sistema con un rilevamento generico: Trojan:Win32/Malgent!MSR“.
Rischi e sistemi di difesa contro i falsi download 7-Zip
In merito ai falsi download 7-Zip, i ricercatori hanno spiegato che non si tratta di semplici casi di download dannosi ospitati su un sito casuale. “Gli autori di 7zip[.]com hanno distribuito un programma di installazione trojanizzato tramite un dominio simile, consegnando una copia funzionante di 7-Zip File Manager insieme a un payload malware nascosto“, hanno commentato.
Il programma di installazione è firmato con Authenticode utilizzando un certificato ora revocato emesso a Jozeal Network Technology Co., Limited, il quale gli conferisce una legittimità superficiale. Durante l’installazione, 7zfm.exeviene distribuita una build modificata che funziona come previsto, riducendo i sospetti degli utenti.
Come difendersi ed evitare i rischi dei falsi download 7-Zip? In questo caso è particolarmente difficile per un utente riconoscere che qualcosa non va perché si tratta di una campagna che ha messo in campo un’efficace impersonificazione del marchio. Può essere utile però conoscere gli indicatori di compromesso per riconoscere i pericoli e starne alla larga:
- Percorsi dei file
- C:\Windows\SysWOW64\hero\Uphero.exe
- C:\Windows\SysWOW64\hero\hero.exe
- C:\Windows\SysWOW64\hero\hero.dll
- Hash dei file (SHA-256)
- e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027(Uphero.exe)
- b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894(eroe.exe)
- 3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9(eroe.dll)
- Indicatori di rete
- Domini:
- soc.hero-sms[.]co
- neo.herosms[.]co
- flux.smshero[.]co
- nova.smshero[.]ai
- apex.herosms[.]ai
- spark.herosms[.]io
- zest.hero-sms[.]ai
- prime.herosms[.]vip
- vivid.smshero[.]vip
- mint.smshero[.]com
- pulse.herosms[.]cc
- glide.smshero[.]cc
- svc.ha-teams.office[.]com
- iplogger[.]org
- IP osservati (fronteggiati da Cloudflare):
- 104.21.57.71
- 172.67.160.241
- Domini:
- Indicatori basati sull’host
- Servizi Windows con percorsi immagine che puntano aC:\Windows\SysWOW64\hero\
- Regole del firewall denominate Uphero o hero (in entrata e in uscita)
- Mutex:Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7
