安全研究人员发现，一个伪造的 7-Zip 网站正在分发被植入木马的压缩工具安装包，该恶意程序会将用户电脑变为住宅代理节点。

住宅代理网络利用家庭用户设备转发流量，以此绕过访问限制，并实施凭证填充、网络钓鱼、恶意软件分发等各类恶意活动。 

这一新型攻击活动因用户举报引发广泛关注：该用户在观看 YouTube 上的电脑装机教程后，依照教程指引，从一个冒充 7-Zip 官方的网站下载了恶意安装包。

攻击者注册了 7zip.com 域名，极易误导用户以为访问的是官方工具站点。此外，攻击者还完整复制了 7-Zip 官方网站（7-zip.org）的文字内容与页面结构。

传播木马化 7-Zip 安装包的恶意网站

研究人员对该安装包进行分析后发现，其使用一张已被吊销的数字证书签名，证书原颁发给 Jozeal Network Technology Co.，Limited。

该恶意安装包内同样包含正常的 7-Zip 程序，可提供工具的完整功能，但会在安装过程中释放三个恶意文件：

·Uphero.exe ——服务管理与更新加载程序

·hero.exe ——代理核心载荷

·hero.dll ——支持库

这些文件会被释放至 C:WindowsSysWOW64hero 目录，程序还会以 SYSTEM 权限创建 Windows 自启动服务，确保恶意程序持久运行。同时，攻击者通过 netsh 命令修改防火墙规则，允许恶意程序发起内外网连接。

最终，恶意程序会通过 Windows 管理规范（WMI）与 Windows 应用程序接口采集主机硬件、内存、CPU、磁盘及网络配置信息，并将数据上报至 iplogger.org。 

研究人员在分析该恶意程序目的时表示：" 尽管初步迹象显示其具备后门类功能，但进一步分析证实，该恶意软件的核心用途为代理程序。受感染主机会被纳入住宅代理网络，允许第三方通过受害者 IP 地址转发流量。"

分析显示，hero.exe 会从轮换的 smshero 系列 C2 域名获取配置，并在 1000、1002 等非常规端口开启外连代理通道，控制指令则通过轻量级 XOR 算法进行混淆加密。 

此次攻击活动并非仅伪装 7-Zip，还通过篡改 HolaVPN、TikTok、WhatsApp、Wire VPN 等软件的安装包传播。 

该恶意软件使用以 hero/smshero 为主题的轮换式命令控制基础设施，流量经 Cloudflare 并采用 TLS 加密的 HTTPS 协议传输；同时通过谷歌解析器使用 HTTPS 加密 DNS（DoH），降低防守方对常规 DNS 流量监控的可见性。

程序还会检测 VMware、VirtualBox、QEMU、Parallels 等虚拟化环境及调试器，以此识别自身是否处于分析环境中。 

安全专家建议用户，不要直接点击 YouTube 视频中的链接或搜索引擎推广结果，应为常用软件的官方下载页面添加书签，从正规渠道获取软件。