Sitio falso de 7-Zip distribuye Malware que convierte PCs en Nodos Proxy

Noticias Hacking y Seguridad Informática / Malware / 11 de febrero de 2026 / Por

Investigadores de ciberseguridad han descubierto un instalador malicioso de 7-Zip distribuido a través de un sitio web falso que imita al proyecto legítimo de 7-Zip.

El instalador troyanizado no solo ofrece las funciones estándar de compresión, sino que también incorpora las computadoras de las víctimas en una red de proxies residenciales.

¿Cómo funciona la campaña?

Los atacantes registraron el dominio 7zip[.]com muy similar al sitio oficial 7-zip.org. Copiaron contenido y diseño para engañar a los usuarios (especialmente quienes siguen tutoriales en YouTube) para que descarguen el instalador comprometido.

El análisis de malware de Malwarebytes reveló que el instalador contiene tres componentes maliciosos:

  • Uphero.exe: Administrador de servicio y cargador de actualizaciones
  • hero.exe: Payload principal de proxy
  • hero.dll: Librería de soporte

Estos archivos se instalan en C:\Windows\SysWOW64\hero\ y se configuran para ejecutarse como servicio SYSTEM, permitiendo el arranque automático. Además, se modifican reglas de firewall para permitir conexiones entrantes y salientes.

¿Qué hace el Malware?

Una vez instalado, el malware:

  1. Perfila el sistema host usando APIs de Windows y WMI para recopilar información de hardware y red.
  2. Envía los datos recopilados a iplogger[.]org.
  3. Establece conexiones proxy usando la IP de la víctima, integrando la máquina en una red de proxies residenciales.
  4. Obtiene configuraciones de dominios C2 “smshero” rotativos.
  5. Usa ofuscación XOR, tráfico HTTPS cifrado con TLS, y DNS sobre HTTPS para evadir detección.
  6. Detecta entornos virtualizados o de depuración (VMware, QEMU, Parallels, etc.) para evitar análisis.

El objetivo principal no es control remoto directo, sino alquilar las máquinas infectadas como proxies para actividades maliciosas como ataques de credential stuffing, campañas de phishing y otros delitos cibernéticos.

Campaña más amplia

El señuelo de 7-Zip forma parte de una operación más grande. Se han visto instaladores troyanizados similares dirigidos a:

  • HolaVPN
  • TikTok
  • WhatsApp
  • Wire VPN

La infraestructura usa dominios C2 rotativos y la red de Cloudflare para ocultar actividad y mantener la resiliencia.

Recomendaciones para Usuarios

Para protegerse de esta campaña:

  • Evitar descargar software desde enlaces de tutoriales de YouTube o anuncios en buscadores.
  • Marcar los portales oficiales de software para descargas confiables y consistentes.
  • Mantener antivirus y protección de endpoints actualizados.
  • Monitorear conexiones de red salientes en busca de tráfico inusual.

🔥 LO MÁS VISTO DE ESTA CATEGORÍA