Una campagna di malware su larga scala sta trasformando PC domestici in nodi proxy sfruttando una versione trojanizzata di 7-Zip, uno degli strumenti di compressione file più diffusi al mondo. A lanciare l'allarme sono i ricercatori di Malwarebytes, che hanno identificato un'operazione sofisticata di distribuzione di proxyware capace di compromettere sistemi attraverso domini fraudolenti quasi indistinguibili da quelli legittimi. L'indagine è partita da una segnalazione su Reddit di un utente che aveva scaricato l'installer da 7zip[.]com invece del sito ufficiale 7-zip.org, finendo vittima di un'infezione silenziosa.
L'installer compromesso si comporta come il vero 7-Zip, mantenendo tutte le funzionalità di compressione e decompressione che gli utenti si aspettano, ma in background rilascia payload aggiuntivi sul sistema. L'obiettivo principale del malware è trasformare il PC infetto in un nodo di una rete proxy, permettendo a terze parti di instradare traffico Internet attraverso l'indirizzo IP della vittima. Questo tipo di infrastruttura viene spesso utilizzata per aggirare restrizioni geografiche, condurre attività di web scraping su larga scala o, nei casi peggiori, per attività illecite che risultano tracciabili fino all'inconsapevole proprietario del computer compromesso.
Il codice malevolo implementa diverse tecniche anti-analisi per evitare il rilevamento da parte di sandbox e ambienti di monitoraggio. Prima di eseguire il payload vero e proprio, il malware effettua controlli sull'ambiente di esecuzione per verificare la presenza di strumenti di debugging, macchine virtuali o altri indicatori di analisi forense. Solo dopo aver confermato di trovarsi su un sistema reale procede con l'installazione dei componenti proxy e la creazione di regole firewall che permettono le connessioni in uscita necessarie per il funzionamento del proxyware.
Stefan Dasic, responsabile della ricerca e risposta agli incidenti di Malwarebytes, non lascia spazio a interpretazioni sulla gravità della situazione. L'utente Reddit che ha sollevato il caso si era imbattuto nel sito fraudolento dopo aver seguito un link presente nei commenti di un tutorial YouTube dedicato a una nuova build di 7-Zip.
L'analisi tecnica ha rivelato che questa campagna non si limita a 7-Zip. Gli analisti hanno identificato binari correlati che fanno riferimento a Hola VPN, TikTok, WhatsApp e Wire, suggerendo un'operazione di distribuzione proxyware molto più ampia che sfrutta l'impersonificazione di molteplici software popolari. La strategia degli attaccanti si basa sull'intercettare utenti che cercano versioni gratuite o alternative di applicazioni note, sfruttando errori di battitura o risultati di ricerca manipolati per dirottarli verso infrastrutture malevole.