エンタープライズセキュリティ企業QiAnXinが今月中旬に発表したニュースによると、QiAnXin脅威インテリジェンスセンターは日常業務において異常な動作を発見したという。 WindowsPackageManagerServer と呼ばれるプロセスは、複雑な操作を経て、最終的に Veiled LummaSealer を起動しました。Qi Anxin は異常の調査を実施し、根本原因の 1 つが実際には Microsoft Store に由来していることを後に発見しました。ロシア版 7-Zip には関連ウイルスが感染していました。
7-Zip は最もよく知られたオープンソースの圧縮管理ソフトウェアの 1 つですが、Microsoft Store には正式にリリースされていません。したがって、ハッカーは 7-Zip の毒されたバージョンを Microsoft Store に直接リリースし、Microsoft の審査を通過しました。ただし、使用された名前は 7z-Soft でした。ユーザーが 7z や 7-Zip などを検索すると、Microsoft Store から表示される結果はすべてこの悪意のあるバージョンです。
この毒された 7-Zip バージョンはロシア語です。理論的には、主要なユーザーは中国人ユーザーではありませんが、多くの中国人ユーザーが影響を受けるとは予想していませんでした。なぜ? 7-Zipの公式サイトはある程度から見つけるのが難しいので、上位にあるのは国内企業がお金を払って探している各種「7-Zip Lifetime Edition」です。
おそらく、Microsoft のブランド評判を信じていたため、一部のユーザーは Microsoft ストアで 7-Zip を検索し、汚染されたバージョンをインストールしました。その後、マルウェアは複雑な操作を実行して攻撃を開始しました。
Qi'anxin が発表したタイムラインによると、同社は 10 月 27 日に異常を発見し、11 月 3 日にマイクロソフトに報告しました。マイクロソフトは 11 月中旬にウイルスに汚染されたバージョンを店頭から削除しました。 12月、Qi'anxinは公開報告書を発表した。
しかし、QiAnXin のトレーサビリティにより、このウイルスは少なくとも 2023 年 1 月に出現したことが判明しました。QiAnXin プラットフォームが収集したデータによると、ユーザーは 3 月 17 日に感染し始めました。ただし、Microsoft ストアは単なる流通チャネルであり、ハッカーはトレントやその他のチャネルを通じてウイルスを配布することもあります。
もう 1 つの興味深い点は、ハッカーが一連のドメイン名を飛び越え、最終的に、有名な通信ソフトウェア Discord のコンテンツ配信サーバーである cdn.discordapp.com を指定したことです。つまり、ハッカーは Discord を使用してウイルスをホストしていました。
Discordは11月6日、さまざまな種類のマルウェアの永続化問題に対処するため、永続的なファイルホスティングのサポートを終了すると発表した。この時期はQi'anxinがウイルスを発見した時期と基本的に重なっているが、Qi'anxinはDiscordに報告したかどうかについては言及していない。ブルードット氏は、Qi'anxin氏がそうしたのではないかと推測した。おそらく、永久ホスティングを終了するという Discord の決定も Qi'anxin の通知に関連しているのでしょう。結局のところ、DiscordCDN にはこれまでに多くのマルウェアが存在しており、Discord にはいくつかの変更を加える必要があります。
ウイルスの挙動に関しては、特筆すべき点はありません。一連の行為により、ハッカーは最終的にユーザーに Chromium や Firefox などのブラウザの Web プッシュ通知機能をオンにするよう誘導し、それを利用してさまざまなポルノ情報をプッシュしてトラフィックを集めました。
Qi Anxin氏は、8月に有害なバージョンの7-Zipのダウンロード数が大幅に増加した問題にも言及した。当時、WinRAR に高リスクの脆弱性が出現しました。多くの企業や機関は従業員にオープンソースの 7-Zip に切り替えるよう求めているかもしれません。しかし、多くのユーザーはある時点で本物の 7-Zip を見つけることができず、Microsoft Store にアクセスしてダウンロードしたと推定されています。