Una nueva campaña de “SEO Poisoning” inunda los motores de búsqueda con sitios falsos de 7-Zip. Los instaladores infectados funcionan perfectamente (instalan la app real), pero ejecutan scripts ocultos para robar tus contraseñas.
Si has buscado “descargar 7-Zip” en Google o Bing recientemente, ten mucho cuidado donde haces clic. Hoy 10 de febrero de 2026, una campaña masiva en la que ciberdelincuentes han clonado el sitio web oficial del famoso archivador gratuito para distribuir variantes peligrosas de malware como Lumma Stealer y Rhadamanthys.
A diferencia de los virus antiguos que rompían tu PC al instante, esta campaña es peligrosamente sutil. Los atacantes utilizan una técnica conocida como “Piggybacking”: el instalador malicioso realmente instala la versión legítima de 7-Zip, haciendo que el usuario crea que todo ha salido bien, mientras infecta el sistema en segundo plano.
La Trampa del “SEO Poisoning”
Los atacantes no están explotando un fallo en el software de 7-Zip (como ocurrió con los CVEs del año pasado), sino en la búsqueda del usuario.
- Dominios Falsos: Han registrado dominios que se parecen visualmente al oficial (7-zip.org), utilizando nombres como 7zip-installer-best.com, 7z-download-official.net o get-7zip-free.org.
- Anuncios Maliciosos: Compran anuncios en motores de búsqueda para que estos sitios falsos aparezcan antes que el sitio oficial en los resultados.
- Diseño Idéntico: Las páginas clonan la estética austera y retro del sitio original de Igor Pavlov, engañando incluso a usuarios técnicos.
Anatomía del Instalador “Armado”
El análisis técnico de los instaladores falsos (generalmente archivos .msi o .exe) revela un comportamiento de doble cara:
- Cara A (Lo que ves): Al ejecutar el archivo, se lanza el asistente de instalación real de 7-Zip. El programa se instala, aparece en el menú de inicio y funciona correctamente para comprimir/descomprimir archivos.
- Cara B (Lo que no ves): Durante la instalación, un script oculto (a menudo VBScript o PowerShell) se ejecuta silenciosamente. Este script contacta a un servidor de comando y control (C2) para descargar la carga útil real: un InfoStealer.
El Botín: Tus Cookies y Billeteras
El malware desplegado (frecuentemente Lumma o Rhadamanthys en esta oleada de 2026) tiene un objetivo claro:
- Robo de Sesiones: Extrae cookies de sesión de Chrome, Edge y Firefox, permitiendo a los atacantes entrar a tus cuentas sin necesidad de contraseña.
- Criptomonedas: Busca extensiones de billeteras (Metamask, Phantom) y archivos de llaves privadas en el disco.
- Credenciales: Roba contraseñas guardadas en el navegador y clientes FTP.
Cómo Distinguir el Real del Falso
Esta campaña abusa de la confusión. Aquí tienes la única regla que necesitas:
- Solo hay UN sitio oficial: El único lugar seguro para descargar 7-Zip es 7-zip.org.
- Verifica la URL: Si la dirección termina en .com, .net, o tiene palabras extra como “setup”, “installer” o “free”, es falso.
- Usa un Bloqueador de Anuncios: uBlock Origin o extensiones similares suelen ocultar los resultados patrocinados de Google, que son el vector principal de esta estafa.
- Hash Check: Si descargas el instalador, verifícalo en VirusTotal. Si ves detecciones genéricas de “Trojan/Generic” o comportamientos de red inusuales, bórralo inmediatamente.
