俄语版的带毒7-Zip在微软应用商店骗了很多中文用户 目前已被微软下架
据企业安全公司奇安信本月中旬发布的消息,奇安信威胁情报中心在日常运营中发现了一个异常行为,一个名为 Windows Package Manager Server 的进程经过复杂的操作最终启动了面纱的 Lumma Sealer。针对该异常奇安信进行了调查,随后发现根源之一竟然来自微软商店,一款俄语版的 7-Zip 携带了相关病毒。
7-Zip 是最知名的开源压缩管理软件之一,不过官方并未将其发布到微软商店,于是有黑客直接在微软商店发布带毒版的 7-Zip 并且通过了微软的审核,不过使用的名称是 7z-Soft,当用户在搜索诸如 7z、7-Zip 时,微软商店给出的结果都是这款恶意版。
这款带毒版的 7-Zip 是俄语版的,理论上说主要用户并不是中文用户,但没想到不少中文用户中招了,为什么呢?因为从某度搜索 7-Zip 难以发现官网,排在前面的都是国内公司找某度付费投放的各类 “7-Zip 终身版” 之类的。
或许是因为相信微软的品牌声誉,部分用户通过微软商店搜索 7-Zip 并安装了这款带毒版,随后恶意软件开始进行复杂的操作进行攻击。
根据奇安信公布的时间线,该公司在 10 月 27 日发现异常、在 11 月 3 日上报给微软、微软到 11 月中旬下架带毒版,12 月奇安信对外发布公开报告。
但奇安信溯源发现至少在 2023 年 1 月这个病毒就出现了,奇安信平台收集的数据是 3 月 17 日开始有用户中招,不过微软商店只是一个分发渠道,黑客还通过 torrent 等渠道分发这款病毒。
还有个有意思的点是黑客通过一系列域名跳转后最终指向 cdn.discordapp.com,这是知名通讯软件 Discord 的内容分发服务器,也就是黑客利用 Discord 来托管病毒。
Discord 在 11 月 6 日发布公告称不再支持永久文件托管以打击各类恶意软件的持久化问题,时间上与奇安信发现病毒的时间基本重叠,不过奇安信没有提是否通报给了 Discord,蓝点网估计奇安信是通报了,或许 Discord 决心关闭永久化托管也和奇安信的通报有关,毕竟之前 Discord CDN 已经出现过不少恶意软件,Discord 确实要下决心做一些更改。
至于病毒行为倒是没什么值得注意的了,黑客通过一系列行为最终诱导用户开启 Chromium 系、Firefox 等浏览器的网页推送通知功能,然后用来推送各类色情信息进行引流。
奇安信还提到的一个问题是带毒版 7-Zip 在 8 月份下载量明显提升,彼时 WinRAR 出现高危漏洞,可能有不少企业和事业单位要求员工更换为开源的 7-Zip,但估计不少用户从某度上压根找不到真正的 7-Zip,于是转头去 Microsoft Store 下载了。