人気アーカイバー「7-Zip」のサイトに酷似した偽サイトが、被害者のマシンを密かにレジデンシャル・プロキシノードへ変換するトロイの木馬化インストーラーを配布しており、しかもそれがしばらくの間、目立たない形で存在し続けていました。
「気分が悪くてたまらない」
あるPC自作ユーザーが最近、誤ったウェブサイトから7‑Zipをダウンロードしてしまったことに気づき、パニック状態でRedditのr/pcmasterraceコミュニティに助けを求めました。新規ビルド向けのYouTubeチュートリアルに従っていたところ、正規のプロジェクトが7-zip.orgでのみホストされていることを知らないまま、7zip[.]comから7‑Zipをダウンロードするよう指示されていたのです。
Reddit投稿でユーザーは、まずノートPCにそのファイルをインストールし、後でUSB経由で新しく組んだデスクトップへ移したと説明しています。32ビットと64ビットの不一致エラーが繰り返し発生し、最終的にインストーラーは諦めてWindows標準の展開ツールを使うことにしました。ところが約2週間後、Microsoft Defenderがシステム上で一般的な検知名「Trojan:Win32/Malgent!MSR」を警告しました。
この体験は、些細に見えるドメインの取り違えが、攻撃者が信頼されたソフトウェア配布元になりすますことに成功した場合、システムが長期間にわたり無断利用される結果につながり得ることを示しています。
正規ソフトを装うトロイの木馬化インストーラー
これは、無関係なサイトに悪意あるダウンロードが置かれているだけの単純なケースではありません。7zip[.]comの運営者は、見た目が似たドメインを使ってトロイの木馬化インストーラーを配布し、動作する7‑Zip File Managerのコピーと、隠されたマルウェアのペイロードを同時に送り込んでいました。
このインストーラーは、現在は失効しているものの、Jozeal Network Technology Co., Limitedに発行された証明書でAuthenticode署名されており、表面的な正当性を与えています。インストール中、改変版の7zfm.exeが配置され、期待どおりに動作するため、ユーザーの疑念を減らします。同時に、追加の3コンポーネントが密かにドロップされます:
- Uphero.exe—サービスマネージャー兼アップデートローダー
- hero.exe—主要なプロキシ・ペイロード(Goでコンパイル)
- hero.dll—補助ライブラリ
すべてのコンポーネントはC:\Windows\SysWOW64\hero\に書き込まれます。ここは権限の高いディレクトリであり、手動で確認されにくい場所です。
また、update.7zip[.]com/version/win-service/1.0.0.2/Uphero.exe.zipに独立した更新チャネルが確認されており、マルウェアのペイロードがインストーラー本体とは別に更新可能であることを示しています。
信頼された配布チャネルの悪用
このキャンペーンで特に懸念される点の一つは、第三者の信頼に依存していることです。Redditの事例は、作成者が正規ドメインではなく7zip.comを誤って参照してしまうことで、YouTubeチュートリアルが意図せずマルウェア配布ベクターになり得ることを浮き彫りにしています。
これは、攻撃者が一見無害なコンテンツ・エコシステム内の小さな誤りを悪用し、大規模に被害者を悪性インフラへ誘導できることを示しています。
実行フロー: インストーラーから永続的プロキシサービスへ
振る舞い分析により、迅速かつ体系的な感染チェーンが確認されています:
1. ファイル配置—ペイロードはSysWOW64にインストールされます。管理者権限が必要であり、システム深部への統合意図を示します。
2. Windowsサービスによる永続化—Uphero.exeとhero.exeの両方が、System権限で動作する自動起動のWindowsサービスとして登録され、起動のたびに実行されます。
3. ファイアウォール規則の操作—マルウェアはnetshを呼び出し、既存の規則を削除して、自身のバイナリに対する受信・送信の許可規則を新規作成します。これはネットワーク通信への干渉を減らし、ペイロード更新を円滑にする狙いがあります。
4. ホストのプロファイリング—WMIおよびWindowsネイティブAPIを用いて、ハードウェア識別子、メモリ容量、CPU数、ディスク属性、ネットワーク構成などのシステム特性を列挙します。マルウェアは専用の報告エンドポイントを介してiplogger[.]orgと通信しており、プロキシ基盤の一部としてデバイスまたはネットワークのメタデータを収集・報告していることが示唆されます。
機能上の目的: レジデンシャル・プロキシの収益化
当初の指標はバックドア的な能力を示唆していましたが、追加分析により、このマルウェアの主機能はプロキシウェアであることが判明しました。感染ホストはレジデンシャル・プロキシノードとして登録され、第三者が被害者のIPアドレス経由でトラフィックを中継できるようになります。
hero.exeコンポーネントは、ローテーションする「smshero」系のC2ドメインから設定データを取得し、その後、1000や1002といった非標準ポートで外向きのプロキシ接続を確立します。トラフィック分析では、制御メッセージを隠すために軽量なXORエンコード(キー0x70)プロトコルが使われていることが示されています。
このインフラは既知のレジデンシャル・プロキシサービスと整合しており、実在する一般消費者のIPアドレスへのアクセスが、不正行為、スクレイピング、広告不正、匿名性のロンダリングなどの目的で販売されます。
7‑Zipのなりすましは、より広範なオペレーションの一部であるようです。関連バイナリはupHola.exe、upTiktok、upWhatsapp、upWireといった名称でも確認されており、いずれも同一の戦術・技術・手順(TTP)を共有しています:
- SysWOW64への配置
- Windowsサービスによる永続化
netshによるファイアウォール規則の操作- 暗号化されたHTTPSのC2通信
VPNおよびプロキシのブランドを参照する埋め込み文字列は、複数の配布フロントを支える統一バックエンドの存在を示唆します。
ローテーションするインフラと暗号化トランスポート
メモリ分析により、heroおよびsmsheroの命名規則を用いたハードコード済みC2ドメインの大規模なプールが見つかりました。サンドボックス実行中のアクティブな名前解決では、TLSで暗号化されたHTTPSセッションを伴い、Cloudflareインフラ経由でトラフィックがルーティングされていることが示されました。
このマルウェアはGoogleのリゾルバを用いたDNS-over-HTTPSも使用しており、従来のDNS監視では可視性が低下し、ネットワークベースの検知が難しくなります。
回避および解析妨害機能
このマルウェアは、サンドボックス回避と解析回避の多層的な仕組みを組み込んでいます:
- VMware、VirtualBox、QEMU、Parallelsを対象とした仮想マシン検知
- アンチデバッグチェックおよび疑わしいデバッガDLLのロード
- 実行時API解決とPEB検査
- プロセス列挙、レジストリ探索、環境検査
暗号機能のサポートも広範で、AES、RC4、Camellia、Chaskey、XORエンコード、Base64が含まれます。これは、暗号化された設定の取り扱いと通信保護を示唆します。
防御ガイダンス
7zip.comからのインストーラーを実行したシステムは、侵害されたものとして扱うべきです。このマルウェアはSYSTEMレベルの永続化を確立し、ファイアウォール規則を変更しますが、信頼できるセキュリティソフトウェアで悪性コンポーネントを効果的に検知・除去できます。Malwarebytesは、この脅威の既知亜種を完全に駆除し、永続化メカニズムを元に戻すことが可能です。高リスク環境や頻繁に使用されるシステムでは、絶対的な確実性のためにOSの再インストールを選ぶユーザーもいるかもしれませんが、すべてのケースで厳密に必須というわけではありません。
ユーザーおよび防御側は次を実施すべきです:
- ソフトウェアの入手元を検証し、公式プロジェクトドメインをブックマークする
- 予期しないコード署名の主体を懐疑的に扱う
- 不正なWindowsサービスやファイアウォール規則の変更を監視する
- 既知のC2ドメインおよびプロキシエンドポイントをネットワーク境界でブロックする
研究者の功績とコミュニティ分析
この調査は、表面的な指標を超えて掘り下げ、このマルウェアファミリーの真の目的を特定した独立系セキュリティ研究者の取り組みなしには不可能でした。
- Luke Achaは、Uphero/heroマルウェアが従来型のバックドアではなくレジデンシャル・プロキシウェアとして機能することを示す最初の包括的分析を提供しました。彼の研究は、プロキシプロトコル、トラフィックパターン、収益化モデルを文書化し、このキャンペーンを、彼がupStage Proxyと名付けたより広範なオペレーションに結び付けました。Lukeの詳細な記事は彼のブログで読めます。
- s1dhyは、カスタムXORベース通信プロトコルをリバースしてデコードし、パケットキャプチャによりプロキシ動作を検証し、被害者の地理的位置をまたいで複数のプロキシエンドポイントを相関付けることで、この分析を拡張しました。技術メモと所見はX(Twitter)で公開共有されました。
- Andrew Danisは追加のインフラ分析とクラスタリングに貢献し、偽7-Zipインストーラーを、他のソフトウェアブランドを悪用する関連プロキシウェアキャンペーンへ結び付ける手助けをしました。
追加の技術的検証と動的解析は、QiitaのRaichuLabおよびIIJのWizSafe Securityの研究者によって公開されました。
彼らの共同作業は、エクスプロイトではなく信頼とミスリードに依存する長期的な悪用キャンペーンを明らかにするうえで、オープンでコミュニティ主導の研究が重要であることを示しています。
結び
このキャンペーンは、ブランドのなりすましと技術的に熟達したマルウェアの組み合わせが、長期間にわたり検知されずに活動し得ることを示しています。ソフトウェアの脆弱性を突くのではなくユーザーの信頼を悪用することで、攻撃者は多くの従来のセキュリティ前提を回避し、日常的なユーティリティのダウンロードを長期的な収益化インフラへと変えてしまいます。
Malwarebytesは、このプロキシウェアファミリーの既知亜種と関連インフラを検知し、ブロックします。
侵害指標(IOCs)
ファイルパス
C:\Windows\SysWOW64\hero\Uphero.exeC:\Windows\SysWOW64\hero\hero.exeC:\Windows\SysWOW64\hero\hero.dll
ファイルハッシュ(SHA-256)
e7291095de78484039fdc82106d191bf41b7469811c4e31b4228227911d25027(Uphero.exe)b7a7013b951c3cea178ece3363e3dd06626b9b98ee27ebfd7c161d0bbcfbd894(hero.exe)3544ffefb2a38bf4faf6181aa4374f4c186d3c2a7b9b059244b65dce8d5688d9(hero.dll)
ネットワーク指標
ドメイン:
soc.hero-sms[.]coneo.herosms[.]coflux.smshero[.]conova.smshero[.]aiapex.herosms[.]aispark.herosms[.]iozest.hero-sms[.]aiprime.herosms[.]vipvivid.smshero[.]vipmint.smshero[.]compulse.herosms[.]ccglide.smshero[.]ccsvc.ha-teams.office[.]comiplogger[.]org
観測されたIP(Cloudflareフロント):
104.21.57.71172.67.160.241
ホストベース指標
- イメージパスが
C:\Windows\SysWOW64\hero\を指すWindowsサービス - Upheroまたはheroという名前のファイアウォール規則(受信・送信)
- ミューテックス:
Global\3a886eb8-fe40-4d0a-b78b-9e0bcb683fb7
