Situs 7-Zip Palsu Sebarkan Installer Berbahaya yang Ubah PC Jadi Proxy Residensial

Sebuah situs palsu yang menyamar sebagai halaman resmi 7-Zip diketahui mendistribusikan installer trojan yang mengubah komputer korban menjadi node proxy residensial. Kampanye ini memanfaatkan popularitas perangkat lunak kompresi tersebut untuk menjebak pengguna yang tidak waspada.

Proxy residensial merupakan jaringan yang memanfaatkan perangkat pengguna rumahan untuk merutekan lalu lintas internet. Infrastruktur semacam ini kerap digunakan untuk menghindari pemblokiran, melakukan credential stuffing, phishing, hingga distribusi malware.

Domain Meniru Situs Resmi

Kampanye ini terungkap setelah seorang pengguna melaporkan bahwa dirinya mengunduh installer berbahaya saat mengikuti tutorial perakitan PC di YouTube. Alih-alih mengakses situs resmi 7-Zip, korban diarahkan ke domain 7zip[.]com, yang secara visual meniru struktur dan konten situs resmi 7-Zip.

Pelaku mendaftarkan domain tersebut dengan nama yang sangat mirip sehingga mudah mengecoh pengguna. Tata letak, teks, dan tampilan halaman dibuat menyerupai situs asli untuk meningkatkan kredibilitas.

Hingga laporan ini ditulis, situs tersebut masih aktif.

Installer Ditandatangani Sertifikat Dicabut

Peneliti dari Malwarebytes yang menganalisis installer tersebut menemukan bahwa file telah ditandatangani secara digital menggunakan sertifikat yang kini sudah dicabut, sebelumnya diterbitkan untuk Jozeal Network Technology Co., Limited.

Menariknya, installer tersebut memang menyertakan program 7-Zip asli sehingga pengguna tetap dapat menjalankan fungsi normal aplikasi. Namun di balik itu, terdapat tiga file berbahaya yang turut diinstal:

• Uphero.exe – berfungsi sebagai pengelola layanan dan pemuat pembaruan
• hero.exe – payload utama proxy
• hero.dll – pustaka pendukung

File-file ini ditempatkan di direktori C:\Windows\SysWOW64\hero\, dan sistem membuat layanan Windows yang berjalan otomatis dengan hak akses SYSTEM untuk menjalankan komponen berbahaya tersebut.

Selain itu, aturan firewall dimodifikasi menggunakan perintah netsh untuk memungkinkan koneksi masuk dan keluar bagi file berbahaya tersebut.

PC Korban Dijadikan Node Proxy

Setelah aktif, malware melakukan profiling sistem menggunakan Windows Management Instrumentation (WMI) dan Windows API untuk mengumpulkan informasi perangkat keras seperti CPU, memori, penyimpanan, dan karakteristik jaringan.

Data tersebut kemudian dikirimkan ke domain iplogger[.]org.

Analisis lanjutan menunjukkan bahwa tujuan utama malware bukanlah backdoor tradisional, melainkan proxyware. Dengan kata lain, perangkat korban didaftarkan sebagai node proxy residensial sehingga pihak ketiga dapat merutekan trafik melalui alamat IP korban.

File hero.exe mengambil konfigurasi dari domain command-and-control (C2) bertema “smshero” yang terus berputar, lalu membuka koneksi proxy keluar pada port non-standar seperti 1000 dan 1002. Komunikasi kontrol disamarkan menggunakan metode XOR ringan.

Infrastruktur Canggih dan Anti-Analisis

Kampanye ini ternyata lebih luas dari sekadar umpan 7-Zip. Malwarebytes menemukan installer trojan serupa untuk HolaVPN, TikTok, WhatsApp, dan Wire VPN.

Infrastruktur C2 dibangun menggunakan domain hero/smshero dengan trafik yang berjalan melalui infrastruktur Cloudflare menggunakan koneksi HTTPS terenkripsi TLS.

Malware juga memanfaatkan DNS-over-HTTPS melalui resolver Google untuk mengurangi visibilitas terhadap sistem pemantauan DNS tradisional.

Untuk menghindari analisis, malware memeriksa keberadaan platform virtualisasi seperti VMware, VirtualBox, QEMU, dan Parallels, serta mendeteksi debugger yang umum digunakan peneliti keamanan.

Penelitian mendalam terhadap protokol komunikasi berbasis XOR mengonfirmasi bahwa fungsi utama malware memang sebagai proxy residensial.

Rekomendasi Keamanan

Pengguna disarankan untuk tidak mengunduh perangkat lunak dari tautan yang dibagikan dalam video YouTube atau hasil pencarian berbayar. Praktik terbaik adalah mengakses langsung domain resmi perangkat lunak dan menyimpannya sebagai bookmark.

Kasus ini kembali menunjukkan bahwa situs tiruan dengan tampilan meyakinkan dapat menjadi vektor distribusi malware yang efektif, bahkan untuk perangkat lunak populer yang selama ini dipercaya pengguna.