Red Hot Cyber
Sicurezza Informatica, Notizie su Cybercrime e Analisi Vulnerabilità
Sembra incredibile ma succede davvero: un download che tutti pensiamo sicuro può rivelarsi un tranello ben oliato che mette a rischio la tua macchina e la trasforma in un nodo per traffico proxy. Quel che è peggio? Non è roba che salta fuori da un exploit clamoroso, ma da un semplice errore di URL, uno di quelli che capita pure ai più attenti.
E sì, ho controllato bene – tutto quello che segue è solo quello che c’è nell’articolo originale, niente aggiunte fantasiose, niente cose prese da altri posti. Parliamo di come un finto installer di 7-Zip stia girando da un bel po’ e come gli attaccanti ne stiano traendo profitto in modi che davvero non ti aspetti.
Quando provi a scaricare 7-Zip, di solito vai sul sito ufficiale, giusto? Ecco, il problema è che qualcuno ha fatto un sito che sembra identico – ma non lo è. La differenza tra 7-zip.org (quello vero) e 7zip[.]com (quello falso) è minima, e non è difficile cascarci, soprattutto se ci finisci seguendo una guida online o un video.
Chi ha preso l’installer ha trovato errori strani, tipo conflitti 32-bit/64-bit, e poi se ne è dimenticato per giorni. Solo molto dopo Defender ha segnalato un trojan, il famigerato Malgent. Eh sì, proprio quella sensazione di “dannazione, l’ho installato senza pensare”.
Il programma ti sembra legittimo perché – sorpresa – installa davvero l‘utility 7-Zip. Ma contemporaneamente, deposita tre eseguibili nascosti in una cartella di sistema che raramente controlliamo: Uphero.exe, hero.exe e hero.dll. Questi pezzi si mettono in marcia automaticamente ogni volta che avvii il PC.
Non solo: cambiano le regole del firewall per lasciar passare il loro traffico, e iniziano a raccogliere dati di sistema (tipo configurazione hardware e rete) e a comunicare con server esterni. Insomma, la macchina diventa una specie di nodo proxy per traffico che viene da altri posti.
Al posto di esserti subito visibile come un ransomware, questa roba trasforma il tuo computer in una risorsa per altri – gente che vuole instradare traffico attraverso il tuo IP, magari per scraping, anonimizzazione o frodi. Fa tutto in modo abbastanza silenzioso, e utilizza protocolli poco comuni e codifica XOR per confondere la comunicazione.
Il livello di evasione è piuttosto sofisticato: rilevano macchine virtuali e debugger, usano DNS-over-HTTPS, e complicano la vita ai rilevatori automatici. Insomma, è costruito per non farsi trovare facilmente.
E non è un caso isolato: esistono varianti con nomi come upHola.exe, upWhatsapp e altre, che usano le stesse tecniche per spacciarsi per software noto e installare la stessa struttura di proxy. Chiaramente non si tratta solo di 7-Zip, ma di un’operazione articolata.
Se hai eseguito un installer da quel dominio falso, puoi considerare il sistema compromesso. Le componenti si installano come servizi Windows con privilegi elevati e fanno cambiamenti di firewall che non spariscono da soli. Software di sicurezza aggiornato può rimuoverli, ma in casi critici – specie su macchine molto utilizzate – alcuni decidono ancora una reinstallazione completa del sistema.
La cosa basilare è controllare sempre il dominio da cui scarichi software – non fidarti di risultati “in alto” su Google o link in video tutorial non verificati. Segna nei preferiti i siti ufficiali, diffida di certificati sospetti, e tieni un occhio su servizi e regole firewall che non hai permesso tu.
Alla fine, la campagna dimostra una cosa chiara: non serve uno zero-day terrificante per compromettere migliaia di PC – basta sfruttare la fiducia e un errore di un URL.
Verso la fine di questo viaggio nel malware, vale la pena ricordare come la comunità di ricerca sia fondamentale: sono stati analisti indipendenti a svelare che quella roba non era un semplice backdoor, ma un sistema di proxy monetizzato. Senza quel lavoro, lo avremmo ancora sotto il radar.
E per approfondire puoi dare un’occhiata al lavoro svolto da Malwarebytes, che ha indagato e descritto tutta la campagna in dettaglio qui: Malwarebytes.
Per la community di Red Hot Cyber, questo è un promemoria amaro ma fondamentale: la sicurezza non è solo patch e firewall. È anche la disciplina di controllare ogni URL, certificato, installer e tutorial che dai per scontato. Un singolo byte fuori posto può trasformarsi in una infrastruttura che sfrutta migliaia di IP inconsapevoli. Rifletteteci la prossima volta che “tutto sembra normale”.
Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
