7-Zipの偽Webサイトに注意 PCをプロキシノード化するマルウェア拡散：セキュリティニュースアラート

Malwarebytesは7-Zipを装う偽のWebサイトがトロイの木馬化されたインストーラーを配布していたと報告した。長期間にわたり不正プログラムを配布し、感染した家庭用PCをプロキシの中継ノードに転用していたという。

[ITmedia エンタープライズ編集部]

　Malwarebytesは2026年2月9日（現地時間）、圧縮ソフト「7-Zip」を装った偽Webサイトがトロイの木馬化されたインストーラーを配布していたと報告した。

　正規Webサイトは「7-zip.org」だが、偽サイト「7zip[.]com」は公式サイトの外観を模倣し、長期間にわたり不正プログラムを配布しており、感染した家庭用PCをプロキシの中継ノードに転用していたという。

家庭用PCが犯罪の踏み台に　7-Zip偽インストーラーの脅威

　問題のインストーラーは「Jozeal Network Technology」名義で発行され、現在は失効した証明書によってAuthenticode署名されていた。導入時には改変された「7zfm.exe」が通常通り動作するが、「Uphero.exe」「hero.exe」「hero.dll」の3要素を「C:\Windows\SysWOW64\hero\」に配置する。

　Uphero.exeはサービス管理と更新取得、hero.exeはGoで構築された主要ペイロード、hero.dllは補助ライブラリーであることが判明した。update.7zip[.]comに独立した更新経路も確認され、インストーラーと分離して改変物を差し替え可能な構造となっていた。

　挙動解析においては、両実行ファイルを「Windows」サービスとして自動起動登録し、SYSTEM権限で常駐させる仕組みであることが判明した。「netsh」を使用して既存のファイアウォール規則を削除し、新たな許可規則を追加していた。また、WMIやWindows APIでハードウェア識別子やメモリ容量、CPU数、ディスク属性、ネットワーク設定などを列挙し、iplogger[.]orgに送信していた。

　主機能はバックドアではなくプロキシ用途で、感染端末のIPアドレス経由で第三者通信を中継する。hero.exeは“smshero”系のC2ドメインから設定を取得し、1000や1002など非標準ポートで外向き接続を確立する。制御通信にはXOR（キー0x70）による簡易難読化が用いられていた。実在の消費者IPを販売する住宅用のプロキシ基盤と一致する特徴を示す。

　同様の手口は「upHola.exe」「upTiktok」「upWhatsapp」「upWire」などの名称でも確認された。いずれもSysWOW64への配置、サービス永続化、netshによる規則改変、HTTPS暗号化通信といった共通手順を持つ。メモリ解析ではheroやsmshero命名の多数のC2ドメインが埋め込まれ、Cloudflare経由のTLS通信やGoogleのDNS-over-HTTPS利用も観測された。VM検知、デバッガ対策、API動的解決、AESやRC4、Camellia、Chaskey、XOR、Base64など多様な暗号機能も備える。

　Malwarebytesは、7zip[.]comから実行した端末は侵害済みと見なすべきだと警告し、利用者や管理者に対し、公式配布元の確認、コード署名情報の精査、不審なWindowsサービスやファイアウォール規則の監視、既知C2やプロキシ先の遮断を呼びかけた。