Seguranca digital

Instaladores falsos de 7-Zip transformam dispositivos em nos de proxy residencial

Pesquisadores de seguranca revelaram detalhes de um novo ator de ameaca chamado Lurking Lizard que opera um negocio ilegal de proxy residencial usando uma infraestrutura com mais de 230 dominios semelhantes. A atividade remonta pelo menos a agosto de 2022.


Ravie Lakshmanan Quinta - 09 de Julho de 2026 às 11:18
The Hacker News

Pesquisadores de seguranca revelaram detalhes de um novo ator de ameaca chamado Lurking Lizard que opera um negocio ilegal de proxy residencial de ponta a ponta usando uma infraestrutura composta por mais de 230 dominios semelhantes.

A atividade remonta pelo menos a agosto de 2022, de acordo com a empresa de inteligencia de ameacas DNS Infoblox. Uma dessas campanhas, observada no inicio deste ano, envolveu o ator atraindo vitimas com um instalador 7-Zip trojanizado hospedado em um dominio chamado "7zip[.]com", recrutando clandestinamente dispositivos comprometidos como nos de proxy.

Lurking Lizard tambem e conhecido por impersonificar grandes provedores de proxy, incluindo IPIDEA, SmartProxy (agora Decodo), IP Royal e 911Proxy, sem mencionar que chegou ao ponto de executar sites falsos de avaliacoes "independentes" para direcionar trafego para suas proprias lojas fraudulentas. Curiosamente, a infraestrutura da IPIDEA foi desmantelada pelo Google em uma operacao em janeiro deste ano.

Descobertas subsequentes da Proxyway revelaram que 773.087 enderecos IP unicos vinculados a SmartProxy tambem estavam presentes em um conjunto de dados publicamente disponivel de IPIDEA com 16.192.293 IPs unicos, indicando que SmartProxy "revende a infraestrutura da IPIDEA diretamente ou a usa como uma fonte significativa de IPs".

A analise de WHOIS e a identificacao de infraestrutura sugerem que Lurking Lizard e um ator baseado na China, com o esquema ilegal tambem usando VPNs populares e servicos como HeroSMS como iscas para distribuir o malware de proxy.

Um dos aspectos notaveis do modo de operacao do adversario gira em torno da aquisicao de dominios quando expiram para herdar seu historico acumulado e legitimidade, uma tecnica conhecida como drop-catching. Em alguns casos, o atacante aproveitou a legitimidade percebida em torno de nomes de dominio referenciados incorretamente (por exemplo, "7zip[.]com" em vez de "7-zip[.]org") para usa-los em seu proveito.

A analise adicional do URL IPLogger ("iplogger[.]com/mnWD") incorporado nas amostras vinculadas a campanha 7-Zip descobriu que a mesma infraestrutura subjacente foi usada para fornecer instaladores falsos para 7-Zip, WhatsApp, ferramentas que falsamente alegam ser baixadores de TikTok e YouTube, e WireVPN.

O uso da marca WireVPN representa a mais recente evolucao da campanha, usando uma abordagem multifacetada para atingir usuarios em diferentes sistemas operacionais, incluindo Android, macOS e Windows. Um desses aplicativos Android, chamado "wirevpn - Fast Unlimited Proxy" e desenvolvido por uma empresa sediada no Reino Unido chamada WEILAI NETWORK TECHNOLOGY CO., LIMITED, acumulou mais de 1 milhao de downloads, embora nao esteja claro se esses downloads sao organicos.

"Na campanha original do 7-Zip, as vitimas eram direcionadas para instaladores maliciosos por meio de conteudo de tutoriais, descoberta direcionada por buscas e dominios semelhantes," disse a Infoblox. "Nao esta claro se tecnicas semelhantes estao direcionando usuarios para as variantes atuais de desktop, mas os aplicativos moveis podem servir como um canal de aquisicao adicional."

Tambem nao esta claro se a mesma funcionalidade de proxy -- ou seja, um nó de saida canalizando trafego de terceiros atraves dos dispositivos das vitimas -- esta presente nos aplicativos moveis, ou se esta limitada apenas aos aplicativos de desktop. Independentemente disso, eles pintam um quadro do que parece ser um negocio ilegal de proxy que impulsiona um ecossistema coordenado abrangendo aquisicao de vitimas, infraestrutura de proxy, marketing e monetizacao.

O resultado e uma operacao de ponta a ponta que passa por duas etapas distintas:

  • Instaladores trojanizados, aplicativos moveis e outras iscas recrutam dispositivos das vitimas em um botnet de proxy controlado pelo ator.
  • O pool e entao monetizado por meio de marcas semelhantes de servicos de proxy, enquanto sites falsos de avaliacoes ajudam a direcionar o trafego para as lojas do ator.

"Somos impactados pelos paralelos entre a atividade criminal recently exposta no espaco de proxy residencial e o malvertising que assola a publicidade de afiliados," disse a Infoblox. "Ha uma historia obvia: sua TV pode fazer parte de um grande botnet conduzindo ataques pela internet. Mas a historia real e muito mais complexa, e as solucoes ainda sao evasivas."

"Em vez de operar uma unica campanha de malware, Lurking Lizard gerencia multiplas etapas do ciclo de vida do proxy residencial por varios anos, desde a aquisicao de dispositivos das vitimas ate o marketing e a venda de acesso a rede resultante."

O desenvolvimento ocorre dias depois que o Google anunciou que havia degradado significativamente a rede de proxy residencial NetNut (tambem conhecida como Popa) que transformou pelo menos 2 milhoes de dispositivos, como TVs inteligentes e caixas de streaming, em condutos para trafego de rede nao autorizado por meio de SDKs contaminados com malware que vem pré-instalados antes da compra ou atraves de aplicativos contendo codigo proxy oculto.

"Isso cria serios riscos para proprietarios de dispositivos descuidados, pois seus enderecos IP domesticos podem ser usados por atacantes como plataforma de lancamento para hacking e outras atividades nao autorizadas," disse o Google. "Consequentemente, os usuarios podem ter seu trafego legitimo sinalizado como suspeito ou bloqueado por seus provedores de servicos."

Article The Hacker News thehackernews.com