Les cybermenaces ne passent plus seulement par des pièces jointes suspectes ou des virus grossiers. Les attaquants ciblent désormais des outils populaires et dignes de confiance. Récemment, de fausses extensions d’intelligence artificielle pour Visual Studio Code ont été épinglées pour avoir siphonné des fichiers utilisateurs. Le malware Gootloader, lui, exploitait des fichiers ZIP altérés pour contourner les antivirus.
Dans cette dynamique, une nouvelle campagne vise 7-Zip, l’un des logiciels de compression les plus utilisés au monde. Des internautes peu vigilants sont redirigés vers un site frauduleux qui reproduit presque à l’identique l’apparence du portail officiel. Le programme téléchargé installe bien 7-Zip… mais pas seulement.
Selon les chercheurs de Malwarebytes Labs, l’installateur piégé dépose en parallèle des fichiers malveillants dans le dossier système C:\Windows\SysWOW64\hero. Ces fichiers sont enregistrés comme services Windows et configurés pour se lancer automatiquement au démarrage, avec des privilèges élevés. Le stratagème est redoutable : l’application semble fonctionner normalement, ce qui retarde toute suspicion.
Une fois actif, le malware collecte des informations sur le système et le réseau, puis modifie les paramètres du pare-feu afin d’autoriser ses propres communications. L’ordinateur infecté est alors intégré à un réseau de proxy résidentiel. Concrètement, la connexion Internet de la victime peut être utilisée par des inconnus pour faire transiter leur trafic, donnant l’illusion que leurs activités proviennent de l’adresse IP du foyer compromis.
Les conséquences peuvent être sérieuses. Si la connexion est utilisée pour des actions frauduleuses ou illégales, l’utilisateur légitime pourrait se retrouver impliqué à son insu.
Pour vérifier une éventuelle infection, il est recommandé de contrôler la présence d’un dossier nommé “hero” dans le répertoire système de Windows, d’examiner les programmes lancés automatiquement au démarrage et de vérifier les règles du pare-feu. Toutefois, la solution la plus accessible reste d’effectuer une analyse complète avec un antivirus à jour. En cas d’infection confirmée, une réinstallation complète du système peut s’avérer nécessaire pour éliminer toute trace du malware.
