De acordo com notícias divulgadas pela empresa de segurança corporativa QiAnXin em meados deste mês, o QiAnXin Threat Intelligence Center descobriu um comportamento anormal nas operações diárias. Um processo chamado WindowsPackageManagerServer finalmente lançou o Veiled LummaSealer após operações complexas.Qi Anxin conduziu uma investigação sobre a anomalia e mais tarde descobriu que uma das causas principais veio, na verdade, da Microsoft Store. Uma versão russa do 7-Zip carregava o vírus relacionado.


7-Zip é um dos softwares de gerenciamento de compactação de código aberto mais conhecidos, mas não foi lançado oficialmente na Microsoft Store. Portanto, um hacker lançou diretamente uma versão envenenada do 7-Zip na Microsoft Store e foi aprovado na análise da Microsoft. Porém, o nome usado foi 7z-Soft. Quando os usuários pesquisam coisas como 7z e 7-Zip, os resultados fornecidos pela Microsoft Store são todos dessa versão maliciosa.


Esta versão envenenada do 7-Zip está em russo. Teoricamente, os principais usuários não são chineses, mas não esperava que muitos usuários chineses fossem afetados. Por que? Como é difícil encontrar o site oficial do 7-Zip até certo ponto, os principais são todos os tipos de "7-Zip Lifetime Edition" que as empresas nacionais pagaram para encontrar até certo ponto.


Talvez por acreditarem na reputação da marca Microsoft, alguns usuários procuraram pelo 7-Zip na loja da Microsoft e instalaram a versão envenenada. Então o malware começou a realizar operações complexas para atacar.

De acordo com o cronograma anunciado por Qi’anxin, a empresa descobriu uma anomalia em 27 de outubro e relatou à Microsoft em 3 de novembro. A Microsoft removeu a versão contaminada por vírus das prateleiras em meados de novembro. Em dezembro, Qi'anxin divulgou um relatório público.

No entanto, a rastreabilidade do QiAnXin descobriu que o vírus apareceu pelo menos em janeiro de 2023. Os dados coletados pela plataforma QiAnXin mostram que os usuários começaram a ser infectados em 17 de março.

Outro ponto interessante é que o hacker pulou uma série de nomes de domínio e finalmente apontou para cdn.discordapp.com, que é o servidor de distribuição de conteúdo do conhecido software de comunicação Discord. Ou seja, o hacker usou o Discord para hospedar o vírus.

O Discord divulgou em 6 de novembro que não ofereceria mais suporte à hospedagem permanente de arquivos para combater o problema de persistência de vários tipos de malware. A época basicamente coincidiu com a época em que Qi'anxin descobriu o vírus, mas Qi'anxin não mencionou se o relatou ao Discord. Bluedot estimou que Qi'anxin sim. Talvez a decisão do Discord de fechar a hospedagem permanente também esteja relacionada à notificação de Qi’anxin. Afinal, já houve muitos malwares no DiscordCDN antes, e o Discord realmente precisa fazer algumas alterações.

Quanto ao comportamento do vírus, não há nada digno de nota. Por meio de uma série de ações, os hackers eventualmente induziram os usuários a ativar a função de notificação push da web de navegadores como Chromium e Firefox e, em seguida, usaram-na para enviar várias informações pornográficas para atrair tráfego.

Qi Anxin também mencionou o problema de que o número de downloads da versão venenosa do 7-Zip aumentou significativamente em agosto. Naquela época, vulnerabilidades de alto risco apareceram no WinRAR. Muitas empresas e instituições podem ter pedido aos funcionários que mudassem para o código aberto 7-Zip. No entanto, estima-se que muitos usuários não conseguiram encontrar o 7-Zip real em algum momento, então recorreram à Microsoft Store para baixá-lo.