Un simple changement de domaine peut suffire. 7zip.com au lieu de 7-zip.org. La différence est subtile, mais les conséquences peuvent être sérieuses. Signalée pour la première fois par des utilisateurs sur Reddit, cette campagne distribue un installateur modifié de 7-Zip. Le logiciel fonctionne normalement et rend la compromission difficile à détecter. L’ordinateur infecté rejoint alors un réseau de proxy résidentiel.
7zip.com n’est pas le site officiel du légendaire 7-Zip
Le logiciel 7-Zip est diffusé uniquement par son site officiel 7-zip.org. Pourtant, un domaine presque jumeau circule en ligne avec 7zip.com. À l’œil nu, la nuance paraît insignifiante. Un tiret absent, une typographie identique, un design familier. Cette proximité graphique suffit à installer un climat de confiance et l’utilisateur pense télécharger un utilitaire reconnu, éprouvé depuis des années, sans imaginer qu’il franchit déjà la première étape d’une compromission.
Le piège est d’autant plus discret que l’installateur téléchargé fonctionne réellement. 7-Zip s’installe normalement. Rien ne trahit la supercherie. Pourtant, l’exécutable a été altéré. En parallèle du programme légitime, un programme malveillant est déployé en silence. Il ne s’affiche pas, ne demande pas d’autorisation visible et ne modifie pas l’interface. L’utilisateur obtient l’outil qu’il cherchait, mais son système a été modifié en profondeur sans qu’il en soit conscient.
I dont know much about PC security and I wish I did.. But i went to 7zip.com and not 7zip.org and I believe now my laptop AND my brand new computer u built either is or was infected and just dont know what steps to take. Pls help!!
by u/MurdererMagi in pcmasterrace
Ce composant crée ensuite un service Windows persistant, exécuté automatiquement au démarrage avec des privilèges élevés. Il n’affiche aucun symptôme évident, ne chiffre pas les fichiers et ne bloque pas la machine. Sa présence est discrète mais durable. Le PC peut alors être intégré à un réseau de proxy résidentiel et utiliser la connexion Internet de votre ordinateur à sa guise.
Votre PC devient alors un proxy résidentiel
Une fois le logiciel malveillant installé, l’ordinateur ne montre pas de signe évident d’infection. Il continue de fonctionner normalement. Pourtant, en arrière plan, il peut être utilisé comme point de relais pour du trafic Internet tiers. C’est ce que l’on appelle un proxy résidentiel.
Un proxy résidentiel est une machine connectée via une véritable connexion domestique avec une adresse IP attribuée par un fournisseur d’accès classique (chez vous, par exemple). Contrairement aux serveurs hébergés dans des centres de données, ces adresses paraissent légitimes et ordinaires. Pour un service en ligne, le trafic semble provenir d’un utilisateur situé dans une zone géographique précise. C’est précisément cette crédibilité qui les rend attractifs pour des usages détournés.
Ces réseaux sont fréquemment exploités pour du scraping massif de données, du contournement de restrictions géographiques, des campagnes de fraude publicitaire ou encore des attaques par saturation de type DDoS. Toute activité suspecte transitant par votre adresse IP peut entraîner un blocage de services, une mise sur liste noire et même attirer l’attention des autorités. Votre ordinateur devient alors l’intermédiaire involontaire d’actions que vous n’avez jamais initiées.
Que faire si vous avez téléchargé le faux logiciel 7zip.com ?
Si vous avez téléchargé l’installateur depuis 7zip.com, la première mesure consiste à isoler immédiatement la machine. Déconnecter l’appareil d’Internet limite toute communication sortante vers un serveur distant et empêche le système compromis de continuer à relayer du trafic. Cette étape simple réduit le risque d’exploitation active de votre connexion.
Ensuite, ouvrez l’explorateur Windows et rendez vous dans le dossier C:\Windows\SysWOW64\hero\. Vérifiez la présence d’un répertoire inhabituel (un dossier nommé hero ou similaire). Ce type d’élément n’a aucune raison d’être installé par la version officielle de 7-Zip. Sa présence peut indiquer que le système a été modifié.
L’installateur est signé par Authenticode à l’aide d’un certificat désormais révoqué délivré à Jozeal Network Technology Co., Limited, ce qui lui confère une légitimité superficielle. Lors de l’installation, une version modifiée est déployée et fonctionne comme prévu, réduisant la suspicion des utilisateurs. Parallèlement, trois composants supplémentaires sont silencieusement installés :
- Uphero.exe : un gestionnaire de service et un chargeur de mises à jour
- hero.exe : la charge utile proxy principale (compilé Go)
- hero.dll : une bibliothèque de soutien
Dans tous les cas, ne vous contentez pas d’une suppression manuelle. Lancez une analyse complète avec un antivirus puissant et à jour. Un outil de sécurité permettra de détecter les services persistants, les tâches planifiées et les fichiers associés qui ne sont pas visibles au premier regard. Si un doute subsiste, une réinstallation propre de Windows 11 avec une clé USB bootable est la solution la plus sûre pour éliminer toute trace résiduelle.
Références
- Windows Central - Avez vous téléchargé 7-Zip depuis le mauvais site ?https://www.windowscentral.com
- Malwarebytes - De faux téléchargements de 7-Zip transforment les PC domestiques en nœuds proxyhttps://forums.malwarebytes.com
