La société de sécurité Malwarebytes met en garde contre le domaine 7zip[.]com. À première vue, celui-ci semble légitime, mais certains téléchargements installent un cheval de Troie. Le véritable site web de 7-Zip utilise le domaine .org (7-zip.org), ce qui rend la différence subtile, mais cruciale. Le faux site propose des versions de 7-Zip qui semblent fonctionner. Les personnes qui installent le logiciel obtiennent effectivement un programme d’archivage opérationnel. Seulement, pendant le processus d’installation, un malware supplémentaire est installé en arrière-plan.
Selon Malwarebytes, il s’agit notamment d’une version modifiée de 7zfm.exe et de fichiers associés tels que Uphero.exe, hero.exe et hero.dll. Ces composants permettent d’intégrer le système dans ce qu’on appelle un réseau de proxys. Au départ, cela semblait être une porte dérobée classique, mais une analyse plus approfondie montre que le logiciel malveillant sert principalement de proxyware. Cela signifie que l’ordinateur infecté est intégré à un réseau proxy résidentiel, permettant à des tiers de rediriger le trafic Internet via l’adresse IP de la victime. De tels réseaux sont souvent utilisés pour des activités douteuses, voire carrément criminelles.
Le développeur de 7-Zip, Igor Pavlov, s’est déjà clairement distancié du domaine .com. Il a souligné qu’il n’existait aucun lien avec 7zip[.]com et a appelé les utilisateurs à ne pas faire confiance à ce site web. Il est à noter que le domaine .com était autrefois à vendre. Vers décembre 2023, il a soudainement commencé à proposer des téléchargements de 7-Zip, comme le montre l’Internet Archive. Depuis lors, le logiciel malveillant circule activement.
Diffusé via YouTube, Windows 10 et 11 touchés
Ces infections ont été découvertes après qu’un utilisateur de Reddit a signalé que son ordinateur avait été infecté à la suite d’un téléchargement effectué via 7zip[.]com. Il avait accédé au site via une vidéo YouTube qui recommandait le mauvais domaine. Selon Malwarebytes, cela montre à quel point il est facile pour les pirates d’exploiter de petites erreurs dans des contenus apparemment fiables. Un lien erroné dans une vidéo peut ainsi diriger des milliers d’utilisateurs vers une infrastructure malveillante.
Ce logiciel malveillant cible les systèmes Windows. Au moment où nous écrivons ces lignes, le faux site web est toujours actif et continue de proposer des téléchargements infectés. Heureusement, de nombreux antivirus courants détectent désormais cette menace et sont en mesure de supprimer le logiciel malveillant. Il reste toutefois essentiel de rester vigilant. Si vous souhaitez télécharger 7-Zip, il est préférable de le faire exclusivement via le domaine officiel : 7-zip.org. Une seule lettre de différence dans la barre d’adresse peut faire la différence entre un téléchargement sûr et un PC complètement compromis.
