Según las noticias publicadas por la empresa de seguridad empresarial QiAnXin a mediados de este mes, QiAnXin Threat Intelligence Center descubrió un comportamiento anormal en las operaciones diarias. Un proceso llamado WindowsPackageManagerServer finalmente lanzó Veiled LummaSealer después de operaciones complejas.Qi Anxin llevó a cabo una investigación sobre la anomalía y luego descubrió que una de las causas fundamentales en realidad provenía de Microsoft Store. Una versión rusa de 7-Zip portaba el virus relacionado.


7-Zip es uno de los programas de gestión de compresión de código abierto más conocidos, pero no se ha lanzado oficialmente en Microsoft Store. Por lo tanto, un pirata informático lanzó directamente una versión envenenada de 7-Zip en Microsoft Store y pasó la revisión de Microsoft. Sin embargo, el nombre utilizado fue 7z-Soft. Cuando los usuarios buscan cosas como 7z y 7-Zip, los resultados proporcionados por Microsoft Store son toda esta versión maliciosa.


Esta versión envenenada de 7-Zip está en ruso. En teoría, los usuarios principales no son usuarios chinos, pero no esperaba que muchos usuarios chinos se vieran afectados. ¿Por qué? Debido a que es difícil encontrar el sitio web oficial de 7-Zip desde cierto punto, los mejores son todo tipo de "7-Zip Lifetime Edition" que las empresas nacionales han pagado para encontrar desde cierto punto.


Quizás porque creían en la reputación de la marca Microsoft, algunos usuarios buscaron 7-Zip en la tienda de Microsoft e instalaron la versión envenenada. Entonces el malware comenzó a realizar operaciones complejas para atacar.

Según el cronograma anunciado por Qi'anxin, la compañía descubrió una anomalía el 27 de octubre y la informó a Microsoft el 3 de noviembre. Microsoft eliminó la versión contaminada con virus de los estantes a mediados de noviembre. En diciembre, Qi'anxin publicó un informe público.

Sin embargo, la trazabilidad de QiAnXin encontró que el virus apareció al menos en enero de 2023. Los datos recopilados por la plataforma QiAnXin muestran que los usuarios comenzaron a infectarse el 17 de marzo. Sin embargo, la tienda de Microsoft es solo un canal de distribución, y los piratas informáticos también distribuyen el virus a través de torrents y otros canales.

Otro punto interesante es que el hacker saltó a través de una serie de nombres de dominio y finalmente apuntó a cdn.discordapp.com, que es el servidor de distribución de contenidos del conocido software de comunicación Discord. Es decir, el hacker utilizó Discord para alojar el virus.

Discord emitió un anuncio el 6 de noviembre de que ya no admitiría el alojamiento permanente de archivos para combatir el problema de persistencia de varios tipos de malware. El tiempo básicamente se superpuso con el momento en que Qi'anxin descubrió el virus, pero Qi'anxin no mencionó si lo informó a Discord. Bluedot estimó que Qi'anxin sí. Quizás la decisión de Discord de cerrar el alojamiento permanente también esté relacionada con la notificación de Qi'anxin. Después de todo, ha habido muchos malwares en DiscordCDN antes, y Discord realmente necesita hacer algunos cambios.

En cuanto al comportamiento del virus, no hay nada reseñable. A través de una serie de acciones, los piratas informáticos finalmente indujeron a los usuarios a activar la función de notificación push web de navegadores como Chromium y Firefox, y luego la utilizaron para enviar información pornográfica diversa para atraer tráfico.

Qi Anxin también mencionó el problema de que la cantidad de descargas de la versión venenosa de 7-Zip aumentó significativamente en agosto. En ese momento aparecieron vulnerabilidades de alto riesgo en WinRAR. Es posible que muchas empresas e instituciones hayan pedido a sus empleados que cambien al código abierto 7-Zip. Sin embargo, se estima que muchos usuarios no pudieron encontrar el 7-Zip real en algún momento, por lo que recurrieron a Microsoft Store para descargarlo.