خدعت النسخة الروسية من برنامج 7-Zip السام العديد من المستخدمين الصينيين في متجر تطبيقات Microsoft وتمت إزالتها من الرفوف بواسطة Microsoft.

وفقًا للأخبار الصادرة عن شركة أمن المؤسسات QiAnXin في منتصف هذا الشهر، اكتشف مركز استخبارات التهديدات QiAnXin سلوكًا غير طبيعي في العمليات اليومية. أطلقت عملية تسمى WindowsPackageManagerServer أخيرًا Veiled LummaSealer بعد عمليات معقدة.أجرى Qi Anxin تحقيقًا في هذا الوضع الشاذ واكتشف لاحقًا أن أحد الأسباب الجذرية جاء بالفعل من متجر Microsoft. النسخة الروسية من 7-Zip كانت تحمل الفيروس ذي الصلة.

يعد 7-Zip أحد أشهر برامج إدارة الضغط مفتوحة المصدر، ولكن لم يتم طرحه رسميًا في متجر Microsoft. ولذلك، أطلق أحد المتسللين مباشرة نسخة مسمومة من برنامج 7-Zip في متجر Microsoft واجتاز مراجعة Microsoft. ومع ذلك، كان الاسم المستخدم 7z-Soft. عندما يبحث المستخدمون عن أشياء مثل 7z و7-Zip، فإن النتائج التي يقدمها متجر Microsoft هي جميعها هذه النسخة الضارة.

هذه النسخة المسمومة من 7-Zip باللغة الروسية. من الناحية النظرية، المستخدمون الرئيسيون ليسوا مستخدمين صينيين، لكنني لم أتوقع أن يتأثر العديد من المستخدمين الصينيين. لماذا؟ نظرًا لأنه من الصعب العثور على الموقع الرسمي لـ 7-Zip من درجة معينة، فإن أهمها هي جميع أنواع "7-Zip Lifetime Edition" التي دفعت الشركات المحلية للعثور عليها من درجة معينة.

ربما لأنهم آمنوا بسمعة العلامة التجارية لشركة Microsoft، قام بعض المستخدمين بالبحث عن 7-Zip عبر متجر Microsoft وقاموا بتثبيت الإصدار المسموم. ثم بدأت البرامج الضارة في تنفيذ عمليات معقدة للهجوم.

وفقًا للجدول الزمني الذي أعلنته شركة Qi'anxin، اكتشفت الشركة حالة شاذة في 27 أكتوبر وأبلغت Microsoft عنها في 3 نوفمبر. وأزالت Microsoft النسخة الملوثة بالفيروسات من الرفوف في منتصف نوفمبر. في ديسمبر، أصدر Qi'anxin تقريرًا عامًا.

ومع ذلك، وجدت إمكانية تتبع QiAnXin أن الفيروس ظهر على الأقل في يناير 2023. وتظهر البيانات التي جمعتها منصة QiAnXin أن المستخدمين بدأوا بالإصابة في 17 مارس. ومع ذلك، فإن متجر Microsoft ليس سوى قناة توزيع، كما يقوم المتسللون أيضًا بتوزيع الفيروس من خلال التورنت والقنوات الأخرى.

نقطة أخرى مثيرة للاهتمام هي أن المتسلل قفز عبر سلسلة من أسماء النطاقات وأشار أخيرًا إلى cdn.discordapp.com، وهو خادم توزيع المحتوى لبرنامج الاتصال الشهير Discord. أي أن المتسلل استخدم Discord لاستضافة الفيروس.

أصدرت Discord إعلانًا في 6 نوفمبر بأنها لن تدعم بعد الآن استضافة الملفات الدائمة لمكافحة مشكلة استمرار أنواع مختلفة من البرامج الضارة. يتداخل الوقت بشكل أساسي مع الوقت الذي اكتشف فيه Qi'anxin الفيروس، لكن Qi'anxin لم يذكر ما إذا كان قد أبلغ Discord به. قدر Bluedot أن Qi'anxin فعل ذلك. ربما يكون قرار Discord بإغلاق الاستضافة الدائمة مرتبطًا أيضًا بإخطار Qi'anxin. بعد كل شيء، كان هناك العديد من البرامج الضارة في DiscordCDN من قبل، ويحتاج Discord حقًا إلى إجراء بعض التغييرات.

أما بالنسبة لسلوك الفيروس فلا يوجد شيء جدير بالملاحظة. من خلال سلسلة من الإجراءات، قام المتسللون في النهاية بحث المستخدمين على تشغيل وظيفة إشعارات الدفع على الويب لمتصفحات مثل Chromium وFirefox، ثم استخدموها لدفع معلومات إباحية مختلفة لجذب حركة المرور.

ذكر Qi Anxin أيضًا مشكلة تتمثل في زيادة عدد تنزيلات الإصدار السام من 7-Zip بشكل ملحوظ في أغسطس. في ذلك الوقت، ظهرت ثغرات أمنية عالية الخطورة في برنامج WinRAR. ربما طلبت العديد من الشركات والمؤسسات من موظفيها التحول إلى برنامج 7-Zip مفتوح المصدر. ومع ذلك، تشير التقديرات إلى أن العديد من المستخدمين لم يتمكنوا من العثور على برنامج 7-Zip الحقيقي في مرحلة ما، لذلك لجأوا إلى متجر Microsoft لتنزيله.