Dopo il caso di Notepad++, un altro software molto popolare viene sfruttato pere diffondere malware, pur con una tecnica diversa: è stato scoperto un sito falso, somigliante in modo quasi perfetto al portale ufficiale di 7‑Zip, che distribuisce un programma di installazione infettato da un trojan. Il dominio fraudolento, ancora online al momento in cui scriviamo, replica struttura e grafica del sito originale, inducendo gli utenti a scaricare un archiviatore apparentemente autentico ma contenente codice malevolo.

L'allarme è scattato dopo la segnalazione di un utente che aveva seguito un tutorial su YouTube per assemblare un PC. Il video indicava erroneamente il dominio fasullo come fonte per il download di 7‑Zip, portando l'utente a installare il file prima su un laptop e poi a trasferirlo su un nuovo desktop tramite USB. La dinamica ha permesso ai ricercatori di ricostruire la catena di infezione e di individuare il sito fraudolento come origine del malware, il cui comportamento è stato analizzato da più team di sicurezza. Una volta eseguito, l'installer configura effettivamente la versione legittima di 7‑Zip, così da non destare sospetti, ma aggiunge componenti nascosti che trasformano il computer della vittima in un nodo proxy. Il sistema infetto instrada traffico di terzi attraverso l'indirizzo IP dell'utente, rendendo difficile individuare l'origine reale delle attività svolte tramite la rete proxy.

Il trojan registra un servizio con i privilegi dell'utente SYSTEM, modifica le regole del firewall e stabilisce connessioni persistenti verso server remoti. Queste operazioni consentono al malware di mantenere il controllo del dispositivo anche dopo il riavvio e di operare in background senza segnali evidenti per l'utente. La capacità di mascherarsi dietro un software legittimo aumenta l'efficacia della campagna e riduce la probabilità di rilevamento immediato.

La campagna non si limita a impersonare 7‑Zip. I ricercatori hanno individuato varianti che imitano anche altri software popolari, tra cui Hola VPN, TikTok, WhatsApp e Wire. L'obiettivo è sfruttare errori di battitura, ricerche affrettate o tutorial online per intercettare utenti che cercano rapidamente un download e non verificano l'autenticità del dominio. Questa strategia amplia il bacino delle potenziali vittime e aumenta la diffusione del proxy malevolo. I domini fraudolento utilizzano infatti nomi molto simile a quello ufficiale, spesso differenziandosi solo per il TLD. Il sito legittimo di 7‑Zip è ospitato esclusivamente su 7‑zip.org, mentre il dominio fasullo utilizza 7zip.com, una variante che può facilmente trarre in inganno chi non presta attenzione all'URL. La replica accurata del layout, dei link e dei nomi dei file contribuisce a rendere la truffa particolarmente credibile.

Spunti di approfondimento:

La truffa del falso BSOD che convince gli utenti a installare un malware

Notepad++, vulnerabilità usata per diffondere malware. Aggiornare dal sito ...

Spotify nella tempesta: le IA sfruttano i nomi di artisti morti per diffondere i...

Dopo videochat con una bella ragazza, ora mi ricatta con le mie immagini intime

I ricercatori spiegano che, una volta attivo, il proxy malevolo può essere utilizzato per attività illecite, tra cui aggirare restrizioni geografiche, mascherare traffico sospetto o facilitare operazioni di scraping su larga scala. L'utente infetto chiaramente non è consapevole dell'uso improprio della propria connessione, a differenza dei servizi proxy legittimi che prevedono accordi espliciti con i partecipanti.

Spunti di approfondimento:

Microsoft sbircia negli .zip anche se c'è la password

Hacker cinesi sfruttano VLC per diffondere malware

Nvidia, certificati rubati dagli hacker e usati per firmware malware

Il malware misterioso che ha già infettato 30.000 Mac