7 Zip non è più solo un nomignolo di software gratuito: nelle ultime ore è diventato anche il bersaglio di un imbroglio molto ben costruito. Un sito contraffatto sta distribuendo una versione corrotta dell’applicazione popolare per comprimere e decomprimere archivi, con un codice nascosto pensato per spremere soldi dall’utente nel tempo. La trappola è raffinata, tanto da ingannare chi pensa di sapere riconoscere un download sicuro.
Cosa è successo e come funziona il raggiro
Il falso portale si trova su 7zip.com e replica in modo convincente il layout e i testi del sito legittimo, indicato qui come 7zip.org. Il risultato è che, cercando la parola chiave per scaricare il programma, il link fasullo può apparire sopra quello vero nelle pagine dei motori di ricerca. Chi capitasse sul sito contraffatto scarica un installer che sembra funzionare: l’interfaccia resta quella nota, il programma si avvia, nessun errore apparente. Ma in parallelo l’installer lascia tracce malevole nel sistema.
Il codice infetto deposita file nella cartella di sistema C:Windows SysWOW64hero con nomi che suonano innocui, ad esempio Uphero.exe, hero.exe e hero.dll. La scelta di un percorso che richiama cartelle di sistema aiuta il malware a passare inosservato. La persistenza viene ottenuta creando servizi che partono automaticamente con privilegi SYSTEM, mentre le regole del firewall vengono modificate attraverso il comando netsh per permettere comunicazioni in uscita verso i server di comando e controllo. Nessuna esplosione di finestrine, nessuno schermo rosso: tutto sommato, un’operazione pensata per restare dove sta e lavorare all’insaputa dell’utente per molto tempo.
Come riconoscerlo e quali contromisure adottare
Non serve essere esperti per cadere in questa trappola. I segnali da tenere d’occhio sono diversi e, messi insieme, raccontano una storia chiara. Il primo è il dominio: preferire sempre il sito ufficiale conosciuto e controllare l’indirizzo prima del download. Un certificato HTTPS valido non garantisce che il sito sia legittimo: i criminali lo stanno usando per dare una patina di fiducia. Altro indizio: le pubblicità che mostrano il link sopra il risultato organico. Se il download arriva da un annuncio, vale la pena sospettare.
Per capire se il sistema è stato compromesso, controllare la presenza di file in C:Windows SysWOW64hero e la comparsa di servizi sospetti. Verificare l’elenco dei servizi di Windows e cercare nomi inconsueti, o servizi che si avviano con privilegi SYSTEM. Usare strumenti affidabili di scansione come Malwarebytes può rivelare la presenza del trojan e dei suoi componenti. Se si preferisce un approccio manuale, l’utilizzo di un account con privilegi limitati per l’uso quotidiano riduce il danno potenziale, mentre l’analisi dei log firewall e delle regole impostate con netsh può rivelare comunicazioni autorizzate improprie.
Cosa fare se il sistema risulta infetto? Prima di tutto interrompere la connessione di rete e avviare la macchina in modalità provvisoria per limitare l’attività del malware. Eseguire scansioni con più strumenti antimalware, rimuovere i servizi sospetti e cancellare i file nella cartella incriminata. Controllare anche le attività pianificate e il registro di sistema per chiavi che ricreano la persistenza. Se il livello di compromissione è elevato o se il dispositivo è usato in ambito professionale, considerare il ripristino da backup verificato o una reinstallazione pulita del sistema.
