AlertaCiberNews

Noticias de ciber seguridad

AlertaCiberNews

Noticias de ciber seguridad

Noticias

### Detectada web falsa de 7-Zip que distribuye instaladores troyanizados para convertir equipos en proxies residenciales

admin

#### 1. Introducción

En las últimas semanas, analistas de ciberseguridad han identificado una campaña activa que emplea un sitio web falso de 7-Zip para distribuir instaladores troyanizados. El objetivo principal de este ataque es convertir los equipos de las víctimas en nodos de proxy residencial, permitiendo a los operadores maliciosos enrutar tráfico a través de estos sistemas comprometidos para múltiples fines ilícitos. Este incidente subraya la sofisticación creciente de las campañas de malware orientadas a explotar la confianza de los usuarios en herramientas legítimas y la importancia de verificar siempre la procedencia del software descargado.

#### 2. Contexto del Incidente

El ataque se produce en el contexto de un incremento notable de campañas de malware que aprovechan la popularidad de aplicaciones ampliamente utilizadas, como 7-Zip, para distribuir cargas maliciosas. En este caso, los ciberdelincuentes han clonado la apariencia y funcionalidad del sitio web oficial de 7-Zip, con un dominio muy similar al legítimo, lo que dificulta la detección para los usuarios menos experimentados.

Este tipo de fraudes se enmarca en la tendencia identificada por diversas firmas de seguridad durante 2023 y 2024, en la que los actores de amenazas emplean ‘malvertising’ (campañas de publicidad maliciosa en motores de búsqueda) y técnicas de SEO poisoning para posicionar sitios web falsos en los primeros resultados de búsqueda. Así, logran captar víctimas que buscan descargar herramientas legítimas como 7-Zip, WinRAR, VLC o Notepad++.

#### 3. Detalles Técnicos

Las muestras analizadas del instalador troyanizado revelan la presencia de un componente malicioso empaquetado junto al ejecutable legítimo de 7-Zip. El fichero descargado suele adoptar nombres como `7z2301-x64.exe` para imitar la convención de versiones oficiales (la versión legítima más reciente en la fecha del análisis es la 23.01).

El troyano instala un servicio persistente en el sistema, que posteriormente conecta a una infraestructura de C2 (Command & Control) controlada por los atacantes. El principal comportamiento identificado consiste en enrolar el equipo comprometido en una red de proxys residenciales, similar a las plataformas explotadas por botnets como “ProxyLife” o “Peer2Profit”.

– **Vectores de ataque:** Descarga directa desde un sitio web clonado, distribución por campañas de SEO poisoning y malvertising.
– **TTPs (MITRE ATT&CK):**
– **T1195** (Supply Chain Compromise/Spearphishing via Service)
– **T1071.001** (Application Layer Protocol: Web Protocols)
– **T1574** (Hijack Execution Flow: DLL Search Order Hijacking)
– **Indicadores de compromiso (IoC):**
– Hashes SHA256 del instalador malicioso (ejemplo: `e8d2c7f4…`)
– Dominios como `7zip-install[.]com`, `7-zip-download[.]net`
– Procesos sospechosos persistentes (servicios con nombres ofuscados)
– Conexiones salientes a IPs de servidores de C2 asociados a redes de proxy
– **CVE asociado:** No se han identificado CVEs específicos en la cadena de infección, dado que el vector principal es la ingeniería social y la distribución de software manipulado.

Se ha observado que los operadores utilizan frameworks como Metasploit para el despliegue inicial, y scripts personalizados en Python o Go para la gestión del nodo proxy, además de mecanismos de ofuscación y evasión de AV.

#### 4. Impacto y Riesgos

El principal riesgo asociado es la utilización de los sistemas infectados como proxies residenciales, lo que implica:

– Pérdida de ancho de banda y recursos del dispositivo
– Potencial involucramiento en actividades ilícitas (envío de spam, fraude, scraping masivo, ataques DDoS, evasión de bloqueos geográficos)
– Daño reputacional y posibles consecuencias legales para las víctimas cuyos equipos sean rastreados en investigaciones policiales
– Exposición a cargas adicionales de malware (adware, stealers, ransomware), ya que este tipo de infecciones suelen servir como puerta de entrada para ataques posteriores

Según datos preliminares, la campaña podría haber afectado ya a miles de usuarios en Europa y América, con especial incidencia en entornos corporativos donde la descarga de utilidades no está suficientemente controlada.

#### 5. Medidas de Mitigación y Recomendaciones

Para CISOs, analistas SOC y administradores de sistemas, se recomienda:

– Bloquear en el perímetro y endpoints los dominios identificados como maliciosos.
– Realizar hunting proactivo de IoC en logs de proxy, endpoints y sistemas EDR.
– Inspeccionar servicios y procesos persistentes anómalos en los equipos.
– Aplicar políticas estrictas de descarga e instalación de software, restringiendo a fuentes oficiales y repositorios verificados.
– Formar periódicamente a los usuarios en la identificación de sitios web legítimos y en buenas prácticas de descarga de software.
– Actualizar periódicamente las listas negras de URLs y hashes en las soluciones de seguridad.

#### 6. Opinión de Expertos

Expertos del sector, como David Álvarez (consultor de ciberseguridad en S2 Grupo), subrayan que “la utilización de herramientas legítimas como vector de infección es una práctica en auge, más efectiva que las campañas tradicionales de phishing. Es fundamental reforzar los controles de acceso a software y realizar análisis de reputación de los dominios, además de monitorizar el tráfico saliente sospechoso”.

Desde el CERT de España, se insiste en la necesidad de implementar soluciones de threat intelligence que permitan la detección temprana de campañas de SEO poisoning y la identificación de patrones de tráfico asociados a redes proxy no autorizadas.

#### 7. Implicaciones para Empresas y Usuarios

Para las empresas, una infección de este tipo puede suponer un incumplimiento de la GDPR y de la futura directiva NIS2, especialmente si los sistemas comprometidos se utilizan para procesar datos personales o críticos. Además, la participación involuntaria en actividades ilícitas puede exponer a la organización a sanciones económicas y daños reputacionales.

Para los usuarios finales, el principal peligro es la utilización de su conexión y recursos para fines ajenos, además de la exposición a nuevas amenazas secundarias.

#### 8. Conclusiones

La campaña de distribución de instaladores troyanizados de 7-Zip pone de relieve la sofisticación de las amenazas actuales y la importancia de extremar las precauciones a la hora de descargar software. Las empresas deben reforzar sus políticas de seguridad y concienciación, y los profesionales del sector deben estar atentos a estos nuevos vectores de ataque, realizando hunting proactivo y compartiendo indicadores de compromiso para mitigar el impacto de este tipo de campañas.

(Fuente: www.bleepingcomputer.com)