Tutoriales y Manuales
Entradas Mensuales
-
▼
2026
(Total:
1619
)
-
▼
febrero
(Total:
811
)
-
Demis Hassabis (Google DeepMind) cree que la AGI l...
-
Otra tienda filtra que GTA 6 costará 100 euros: si...
-
El Galaxy S26 Ultra se queda atrás en sensores de ...
-
Sam Altman lo tiene claro: "El 'AI washing' es rea...
-
Herramienta de IA OpenClaw borra el buzón del dire...
-
Cuando nadie responde por tu GPU: RX 7900 XT MBA c...
-
Múltiples vulnerabilidades en CPSD CryptoPro Secur...
-
Explotan vulnerabilidad en servidor Apache ActiveM...
-
DJI demanda a la FCC por prohibir la importación d...
-
Nvidia aún no ha vendido ni un H200 a China casi t...
-
ONLYOFFICE Docs 9.3: nueva versión de la suite ofi...
-
MSI renueva su línea de placas base económicas par...
-
Le pide 4 dólares a un agente de IA por contagiar ...
-
Qué servicios de Windows deberías deshabilitar y c...
-
El uso de IPTV piratas se dispara en Europa, y los...
-
Vulnerabilidades críticas en SolarWinds Serv-U per...
-
Desarrollador ingenioso crea emulador de CPU x86 s...
-
Este modelo de IA español está comprimido, es grat...
-
Ataques OAuth en Entra ID pueden usar ChatGPT para...
-
Paquetes NuGet maliciosos roban credenciales de de...
-
CISA confirma explotación activa de vulnerabilidad...
-
Microsoft advierte de ataques a desarrolladores co...
-
Un manitas construye un visor de realidad virtual ...
-
Intel apuesta por la inferencia de IA con sus CPU ...
-
Fortinet avisa de la explotación activa de la vuln...
-
La IA impulsó la economía estadounidense en "práct...
-
El 65% de las organizaciones financieras son blanc...
-
Actores de amenazas usan herramientas de IA para a...
-
Pillan a dos estudiantes de 15 y 13 años fabricand...
-
Reddit multado con 14,47 millones de libras por fa...
-
Singularity Computers Penta Node: controla hasta 5...
-
EE. UU. sanciona red de intermediarios que robaron...
-
GitHub Copilot explotado para tomar control total ...
-
PayPal confirma una exposición de datos de seis me...
-
SanDisk presenta su nueva generación de SSD portát...
-
¿Tienes un móvil roto y no sabes qué hacer con él?...
-
29 minutos es el tiempo que necesita un atacante p...
-
Cómo eliminar anuncios en Windows con Winaero Tweaker
-
Así es la Honor Magic Pad 4, la tablet más delgada...
-
Así funcionarán las pantallas táctiles en los MacB...
-
Microsoft dejará de dar soporte a Windows Server 2...
-
EE.UU. invierte más de 30.000 millones de dólares ...
-
Qué es el puerto SFP+ de un router: la conexión pr...
-
Los propietarios de Lenovo y Asus con Ryzen Z1 Ext...
-
Fuga de datos de Conduent: el mayor ciberataque en...
-
La gravedad contra tu CPU: la orientación del disi...
-
El chip AI100 de Qualcomm de 2019 logra un gran de...
-
Habilidades maliciosas de OpenClaw engañan a usuar...
-
Nueva vulnerabilidad de deserialización en trabaja...
-
El gobierno de EE.UU. advirtió a los CEOs de Nvidi...
-
Ingenieros de la NASA reprogramaron el chip Snapdr...
-
La nueva herramienta de IA de Anthropic escribe có...
-
NVIDIA viene fuerte: sella alianzas con Lenovo y D...
-
Múltiples vulnerabilidades en VMware Aria permiten...
-
PC de 99 kg integrado en un radiador victoriano de...
-
Un ladrón aficionado roba tres GPUs por 11.000$ de...
-
Samsung integra Perplexity en sus móviles mediante...
-
Grupo cibercriminal ruso Diesel Vortex roba más de...
-
Dispositivo óptico transmite datos a 25 Gbps media...
-
Cuando "Vibe Coding" se convierte en una pesadilla...
-
Desarrollador ambicioso presenta un juego tipo Qua...
-
ATABoy conecta discos IDE antiguos al siglo XXI co...
-
Usan imágenes esteganográficas para eludir escaneo...
-
Qué es Citrini Research y por qué ha causado el ca...
-
CISA alerta de explotación activa de dos vulnerabi...
-
Actores norcoreanos usan falsos trabajadores de TI...
-
El último modelo de IA chino de DeepSeek se ha ent...
-
GrayCharlie inyecta JavaScript malicioso en sitios...
-
El mapa de España que muestra las antenas que tien...
-
Nuevo RAT personalizado MIMICRAT descubierto en so...
-
Presunto robo de 21 millones de registros de Odido...
-
ASML aumenta la potencia de sus sistemas de litogr...
-
China muestra el rival del Apple MacBook Air: el M...
-
Adiós al cable submarino que cambió Internet
-
Samsung activa la era PCIe 6.0: prepara la producc...
-
El MIT crea una impresora 3D capaz de fabricar un ...
-
Anthropic acusa a DeepSeek y otras IA chinas de co...
-
WhatsApp lanza función opcional de contraseña para...
-
Qué tiene dentro una SIM, la tecnología que no ha ...
-
Panasonic deja de fabricar televisores, el fin de ...
-
Usan DeepSeek y Claude para atacar dispositivos Fo...
-
OpenClaw lanza la versión 2026.2.23 con actualizac...
-
Vía libre para los procesadores NVIDIA N1, un dolo...
-
Ring no quiere problemas con sus timbres y ofrece ...
-
La marca Xbox morirá lentamente, dice el creador d...
-
Todos los datos de altos cargos del INCIBE Español...
-
Detenidos los cuatro miembros principales del grup...
-
Microsoft planea añadir agentes IA integrados en W...
-
Visto en China: máquinas robots recolectores de fr...
-
Mil millones de registros de datos personales expu...
-
Tesla deja sin pagar un pedido de 4.000 pasteles y...
-
Código *#9900# para móviles Samsung Galaxy te da a...
-
¿Qué es 'ghost tapping', la estafa silenciosa, que...
-
Visto en China: autobuses con semáforos en tiempo ...
-
Sam Altman, CEO de OpenAI: "Los humanos consumen t...
-
Nuevo marco de phishing Starkiller clona páginas d...
-
Google decide cambiar las descripciones generales ...
-
Los relojes de Huawei ya permiten los pagos sin co...
-
Amazon da un paso atrás con la IA, y retira su fla...
-
Anthropic lanza Claude Code Security para analizar...
-
-
▼
febrero
(Total:
811
)
-
►
2025
(Total:
2103
)
- ► septiembre (Total: 148 )
-
►
2024
(Total:
1110
)
- ► septiembre (Total: 50 )
-
►
2023
(Total:
710
)
- ► septiembre (Total: 65 )
-
►
2022
(Total:
967
)
- ► septiembre (Total: 72 )
-
►
2021
(Total:
730
)
- ► septiembre (Total: 56 )
-
►
2020
(Total:
212
)
- ► septiembre (Total: 21 )
-
►
2019
(Total:
102
)
- ► septiembre (Total: 14 )
-
►
2017
(Total:
231
)
- ► septiembre (Total: 16 )
-
►
2016
(Total:
266
)
- ► septiembre (Total: 38 )
-
►
2015
(Total:
445
)
- ► septiembre (Total: 47 )
-
►
2014
(Total:
185
)
- ► septiembre (Total: 18 )
-
►
2013
(Total:
100
)
- ► septiembre (Total: 3 )
-
►
2011
(Total:
7
)
- ► septiembre (Total: 1 )
Síguenos en:
Entradas populares
-
ClothOff es una app que utiliza inteligencia artificial generativa para desnudar a cualquier persona a partir de fotografías con ropa que... -
Un ingeniero de Microsoft revela que MS-DOS podía generar gráficos desde hace casi 30 años, pero la compañía optó por una interfaz mediocr... -
China ha desarrollado el procesador fotónico LightGen , 100 veces más potente que el Nvidia A100 , utilizando neuronas fotónicas para elimi...
Versiones falsas de 7-Zip convierten computadoras en proxies hogareños
Un sitio web similar al popular compresor 7-Zip ha estado distribuyendo un instalador troyanizado que convierte silenciosamente las computadoras de las víctimas en nodos proxies residenciales, y ha estado oculto a plena vista durante algún tiempo.
Un ensamblador de computadoras se dió cuenta de que había descargado 7-Zip del sitio web equivocado. Siguiendo un tutorial de YouTube, se le indicó que descargara la aplicación de 7zip[.]com (sin guión), sin saber que el proyecto legítimo se aloja exclusivamente en 7-zip.org.
En su publicación de Reddit, el usuario describió cómo instaló el archivo primero en una computadora portátil y luego lo transfirió por USB a una computadora de escritorio recién construida. Se encontraron con repetidos errores de 32 bits frente a 64 bits y finalmente abandonaron el instalador en favor de las herramientas de extracción integradas de Windows. Casi dos semanas después, Microsoft Defender alertó al sistema con una detección genérica de malware.
Esta experiencia ilustra cómo una confusión de dominio aparentemente menor puede resultar en un uso no autorizado y prolongado de un sistema cuando los atacantes se hacen pasar por distribuidores de software confiables.
Un instalador troyanizado que se hace pasar por software legítimo
Este no es un simple caso de una descarga maliciosa alojada en un sitio web aleatorio. Los operadores de 7zip[.]com distribuyeron un instalador troyanizado a través de un dominio similar, entregando una copia funcional del administrador de archivos 7-Zip junto con una carga útil de malware oculta.
El instalador está firmado con Authenticode mediante un certificado emitido a Jozeal Network Technology Co., Limited, ahora revocado, lo que le otorga una legitimidad superficial. Durante la instalación, se implementa una compilación modificada de 7zfm.exe que funciona correctamente, reduciendo las sospechas del usuario. En paralelo, se instalan silenciosamente tres componentes adicionales:
- Uphero.exe: un gestor de servicios y cargador de actualizaciones
- hero.exe: la carga útil principal del proxy (compilada con Go)
- hero.dll: una biblioteca de soporte
Todos los componentes se escriben en C:\Windows\SysWOW64\hero\, un directorio privilegiado que es poco probable que se inspeccione manualmente.
También se observó un canal de actualización independiente en update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zip, lo que indica que la carga útil del malware puede actualizarse independientemente del propio instalador.
Abuso de canales de distribución confiables
Uno de los aspectos más preocupantes de esta campaña es su dependencia de la confianza de terceros. El caso de Reddit señala los tutoriales de YouTube como un vector de distribución involuntaria de malware, donde los creadores hacen referencia incorrectamente al ".com" en lugar del dominio legítimo.
Esto demuestra cómo los atacantes pueden explotar pequeños errores en ecosistemas de contenido que, de otro modo, serían inofensivos para dirigir a las víctimas hacia infraestructura maliciosa a gran escala.
Flujo de ejecución
El análisis del comportamiento muestra una cadena de infección rápida y metódica:
1. Implementación de archivos: La carga útil se instala en SysWOW64, lo que requiere privilegios elevados y la intención de una integración profunda en el sistema.
2. Persistencia a través de servicios de Windows: Tanto Uphero.exe como hero.exe se registran como servicios de Windows de inicio automático que se ejecutan con privilegios del sistema, lo que garantiza su ejecución en cada arranque.
3. Manipulación de reglas de firewall: El malware invoca netsh para eliminar las reglas existentes y crear nuevas reglas de permiso de entrada y salida para sus binarios. Esto tiene como objetivo reducir la interferencia con el tráfico de red y permitir actualizaciones fluidas de la carga útil.
4. Perfilado del host: Mediante WMI y las API nativas de Windows, el malware enumera las características del sistema, incluyendo identificadores de hardware, tamaño de memoria, número de CPU, atributos de disco y configuración de red. El malware se comunica con iplogger[.]org a través de un endpoint dedicado a la generación de informes, lo que sugiere que recopila y reporta metadatos del dispositivo o de la red como parte de su infraestructura de proxy.
Objetivo funcional: monetización de proxy residencial
Si bien los indicadores iniciales sugerían capacidades de tipo puerta trasera, un análisis posterior reveló que la función principal del malware es el proxyware. El host infectado se registra como nodo proxy residencial, lo que permite a terceros enrutar el tráfico a través de la dirección IP de la víctima.
El componente hero.exe recupera datos de configuración de dominios de comando y control rotativos con temática "smshero" y luego establece conexiones proxy salientes en puertos no estándar como el 1000 y el 1002. El análisis de tráfico muestra un protocolo ligero con codificación XOR (clave 0x70) utilizado para ocultar los mensajes de control.
Esta infraestructura es consistente con los servicios de proxy residencial conocidos, donde el acceso a direcciones IP reales de consumidores se vende con fines de fraude, scraping, abuso de publicidad o blanqueo de anonimato.
La suplantación de identidad de 7-Zip parece formar parte de una operación más amplia. Se han identificado binarios relacionados con nombres como upHola.exe, upTiktok, upWhatsapp y upWire, todos con tácticas, técnicas y procedimientos idénticos:
- Implementación en SysWOW64
- Persistencia de servicios de Windows
- Manipulación de reglas de firewall mediante netsh
- Tráfico HTTPS C2 cifrado
Las cadenas incrustadas que hacen referencia a marcas de VPN y proxy sugieren un backend unificado que admite múltiples frentes de distribución.
Infraestructura rotatoria y transporte cifrado
El análisis de memoria reveló un amplio conjunto de dominios de comando y control codificados que utilizan las convenciones de nomenclatura hero y smshero. La resolución activa durante la ejecución en sandbox mostró que el tráfico se enrutaba a través de la infraestructura de Cloudflare con sesiones HTTPS cifradas con TLS.
El malware también utiliza DNS sobre HTTPS a través del solucionador de Google, lo que reduce la visibilidad para la monitorización tradicional de DNS y dificulta la detección basada en la red.
Funciones de evasión y antianálisis
El malware incorpora múltiples capas de sandbox y evasión de análisis:
- Detección de máquinas virtuales dirigidas a VMware, VirtualBox, QEMU y Parallels
- Comprobaciones antidepuración y carga sospechosa de DLL de depuración
- Resolución de API en tiempo de ejecución e inspección de PEB
- Enumeración de procesos, sondeo del registro e inspección del entorno
La compatibilidad con cifrado es amplia, incluyendo AES, RC4, Camellia, Chaskey, codificación XOR y Base64, lo que sugiere un manejo cifrado de la configuración y protección del tráfico.
Guía de defensa
Cualquier sistema que haya ejecutado instaladores de 7zip[.]com debe considerarse comprometido. Si bien este malware establece persistencia a nivel de System y modifica las reglas del firewall, un software de seguridad fiable puede detectar y eliminar eficazmente los componentes maliciosos. En sistemas de alto riesgo o con un uso intensivo, algunos usuarios podrían optar por una reinstalación completa del sistema operativo para una seguridad absoluta, pero no es estrictamente necesario en todos los casos.
Los usuarios y defensores deben:
- Verificar las fuentes del software y marcar como favoritos los dominios oficiales del proyecto.
- Tratar con escepticismo las identidades de firma de código inesperadas.
- Supervisar servicios de Windows no autorizados y cambios en las reglas del firewall.
- Bloquear dominios C2 conocidos y endpoints proxy en el perímetro de la red.
- Atribución de investigadores y análisis de la comunidad.
Esta investigación no habría sido posible sin el trabajo de investigadores de seguridad independientes que profundizaron más allá de los indicadores superficiales e identificaron el verdadero propósito de esta familia de malware.
- Luke Acha proporcionó el primer análisis exhaustivo que demuestra que el malware Uphero/hero funciona como proxyware residencial en lugar de una puerta trasera tradicional. Su trabajo documentó el protocolo proxy, los patrones de tráfico y el modelo de monetización, y conectó esta campaña con una operación más amplia que denominó upStage Proxy.
- s1dhy amplió este análisis revirtiendo y decodificando el protocolo de comunicación personalizado basado en XOR, validando el comportamiento del proxy mediante capturas de paquetes y correlacionando múltiples endpoints proxy con las geolocalizaciones de las víctimas.
- Andrew Danis contribuyó con análisis adicionales de infraestructura y agrupación, lo que ayudó a vincular el instalador falso de 7-Zip con campañas de proxyware relacionadas que abusan de otras marcas de software.
- Los investigadores RaichuLab de Qiita y WizSafe Security de IIJ publicaron una validación técnica adicional y un análisis dinámico.
Fuente: MalwareBytes
Fuentes:
http://blog.segu-info.com.ar/2026/02/versiones-falsas-de-7-zip-convierten.html
Etiquetas:
Entrada más reciente
0 comentarios :
Publicar un comentario
Los comentarios pueden ser revisados en cualquier momento por los moderadores.
Serán publicados aquellos que cumplan las siguientes condiciones:
- Comentario acorde al contenido del post.
- Prohibido mensajes de tipo SPAM.
- Evite incluir links innecesarios en su comentario.
- Contenidos ofensivos, amenazas e insultos no serán permitidos.
Debe saber que los comentarios de los lectores no reflejan necesariamente la opinión del STAFF.