安全研究人员发现，一个伪造的7-Zip网站正在分发被植入木马的压缩工具安装包，该恶意程序会将用户电脑变为住宅代理节点。

　　住宅代理网络利用家庭用户设备转发流量，以此绕过访问限制，并实施凭证填充、网络钓鱼、恶意软件分发等各类恶意活动。

　　这一新型攻击活动因用户举报引发广泛关注：该用户在观看YouTube上的电脑装机教程后，依照教程指引，从一个冒充7-Zip官方的网站下载了恶意安装包。

　　攻击者注册了名，极易误导用户以为访问的是官方工具站点。此外，攻击者还完整复制了7-Zip官方网站（的文字内容与页面结构。

　　研究人员对该安装包进行分析后发现，其使用一张已被吊销的数字证书签名mac用免费vpn，证书原颁发给Jozeal Network Technology Co.，Limited。

　　该恶意安装包内同样包含正常的7-Zip程序，可提供工具的完整功能，但会在安装过程中释放三个恶意文件：

　　这些文件会被释放至C:\Windows\SysWOW64\hero\目录，程序还会以SYSTEM权限创建Windows自启动服务，确保恶意程序持久运行。同时，攻击者通过netsh命令修改防火墙规则，允许恶意程序发起内外网连接。

　　最终，恶意程序会通过Windows管理规范（WMI）与Windows应用程序接口采集主机硬件、内存、CPU、磁盘及网络配置信息，并将数据上报至

　　研究人员在分析该恶意程序目的时表示：“尽管初步迹象显示其具备后门类功能，但进一步分析证实，该恶意软件的核心用途为代理程序。受感染主机会被纳入住宅代理网络，允许第三方通过受害者IP地址转发流量。”

　　分析显示，hero.exe会从轮换的smshero系列C2域名获取配置，并在1000、1002等非常规端口开启外连代理通道，控制指令则通过轻量级XOR算法进行混淆加密。

　　该恶意软件使用以hero/smshero为主题的轮换式命令控制基础设施，流量经Cloudflare并采用TLS加密的HTTPS协议传输；同时通过谷歌解析器使用HTTPS加密DNS（DoH），降低防守方对常规DNS流量监控的可见性。

　　程序还会检测VMware、VirtualBox、QEMU、Parallels等虚拟化环境及调试器，以此识别自身是否处于分析环境中。

　　安全专家建议用户，不要直接点击YouTube视频中的链接或搜索引擎推广结果，应为常用软件的官方下载页面添加书签，从正规渠道获取软件。