Cette version piégée de 7-Zip fait de votre PC un outil pour des pirates
Une fausse version de 7-Zip piège les utilisateurs peu vigilants. Une fois installée, elle transforme discrètement l’ordinateur en proxy pour des inconnus. Le danger est réel, car tout semble fonctionner normalement.
Les cybermenaces ne se limitent plus aux virus classiques ou aux pièces jointes douteuses. Ces dernières semaines, plusieurs affaires ont montré que même des outils réputés peuvent cacher des pièges. Des extensions IA malveillantes pour Visual Studio Code, par exemple, exfiltraient les fichiers ouverts sans autorisation. De son côté, le malware Gootloader utilisait des fichiers ZIP corrompus pour tromper les antivirus et infecter les ordinateurs. Ces cas révèlent l’évolution constante des techniques utilisées par les pirates.
Une nouvelle alerte vient désormais renforcer cette tendance inquiétante. Elle concerne 7-Zip, un logiciel de compression gratuit très utilisé dans le monde entier. Un faux site, très proche visuellement du site officiel, propose un programme d’installation modifié. Celui-ci semble installer l’application normalement. Mais en réalité, il introduit discrètement un malware qui transforme l’ordinateur en relais Internet à l’insu de l’utilisateur.
Un faux programme 7-Zip installe un proxy furtif qui utilise votre connexion Internet à votre insu
Une version piégée du logiciel 7-Zip circule actuellement sur un faux site web, et installe en secret un programme malveillant sur les ordinateurs infectés. Selon les chercheurs de Malwarebytes Labs, ce faux installateur dépose des fichiers dans le dossier C:\Windows\SysWOW64\hero. Ces derniers sont enregistrés comme des services Windows, exécutés automatiquement à chaque démarrage avec des privilèges système. Le piège est particulièrement efficace, car le vrai logiciel est bel et bien installé, ce qui empêche l’utilisateur de se douter de quoi que ce soit.
Le malware commence alors à collecter des informations système et réseau. Il modifie les règles du pare-feu pour autoriser son propre trafic. Une fois configuré, l’ordinateur est intégré à un réseau proxy résidentiel. Cela signifie que des inconnus peuvent utiliser la connexion Internet du foyer comme relais, faisant ainsi apparaître leurs actions comme si elles venaient de l’adresse IP de la victime. Cela peut avoir des conséquences graves si cette dernière est utilisée pour mener des activités illégales.
Pour savoir si votre ordinateur est touché, vous pouvez vérifier s’il existe un dossier nommé “hero” dans le dossier système de Windows. Il est aussi utile de jeter un œil aux programmes qui se lancent automatiquement ou aux règles du pare-feu, même si cela peut sembler technique. Le plus simple reste de lancer une analyse complète avec votre antivirus. Si une menace est détectée, il est parfois nécessaire de réinstaller complètement Windows pour repartir sur une base saine.
