文章总结:7-Zip被发现存在零日漏洞(CVE-2025-0411),被用于传播SmokeLoader恶意软件。该漏洞绕过Windows的MoTW保护机制,通过嵌套压缩文件隐藏恶意代码。攻击者利用钓鱼邮件针对乌克兰政府和企业,受害者包括多个关键部门和中小企业。Trend Micro已修复漏洞,并建议用户更新软件并加强安全措施。 2025-2-5 11:15:49 Author: www.securityinfo.it(查看原文) 阅读量:9 收藏
Hacker russi fruttano un bug 0-day di 7-Zip per distribuire SmokeLoader
Feb 05, 2025 Attacchi, In evidenza, News, RSS, Vulnerabilità
Il team di Threat Hunting della Zero Day Initiative di Trend Micro ha individuato una campagna malware che sfruttava un bug 0-day di 7-Zip per distribuire il malware SmokeLoader.
La vulnerabilità, tracciata come CVE-2025-0411, consente a un attaccante di eludere i controlli del Mark-of-The-Web (MoTW), un meccanismo di protezione di Windows che blocca l’esecuzione automatica di script e applicazioni non riconosciute.
Quando un utente scarica un file dal web, la feature lo identifica come sospetto per evitare che venga eseguito accidentalmente. Il bug di 7-Zip consente di eludere questi controlli semplicemente incapsulando un archivio dentro l’altro: il programma infatti non propaga correttamente i controlli di MoTW anche agli archivi interni, dove gli attaccanti possono inserire script ed eseguibili senza preoccuparsi che vengano bloccati.
La campagna per distribuire SmokeLoader
Per distribuire SmokeLoader servendosi del bug di 7-Zip, gli attaccanti hanno inviato email di phishing a diversi funzionari e dipendenti di organizzazioni ucraine. I messaggi chiedevano agli utenti di aprire il materiale allegato con una certa urgenza, senza specificare a cosa si riferisse.
Gli allegati erano dei file .zip che contenevano a loro volta un archivio creato ad hoc; questo sfruttava la manipolazione tipografica per eseguire degli attacchi omografici, nei quali cioè vengono usati caratteri speciali “mascherati” da quelli classici.
Nel caso della campagna in esame, i cybercriminali hanno usato il carattere cirillico “Es” per camuffare l’archivio interno da file .doc; in questo modo, gli utenti ignari aprivano il file e consentivano così l’esecuzione dei contenuti dell’archivio senza i controlli MoTW.
Nel dettaglio, l’apertura del file portava all’esecuzione di un file .URL presente nell’archivio che puntava a un server controllato dagli attaccanti; questo, a sua volta, scaricava un altro file .zip che conteneva l’eseguibile di SmokeLoader mascherato da file .pdf.
A quel punto, dopo aver aperto il file .pdf appena scaricato, SmokeLoader veniva installato sul dispositivo. Il malware è in grado di sottrarre dati, eseguire attacchi DDoS e minare criptovalute, oltre a scaricare nuovi moduli per potenziare le proprie attività.
Le vittime del bug di 7-Zip
Dietro la campagna ci sono diversi gruppi cybercriminali russi. Gli attacchi hanno colpito organizzazioni governative e non in Ucraina per scopi di cyberspionaggio. Tra le vittime ci sono , tra le altre, il Ministro della Giustizia, alcune aziende manifatturiere, una farmacia, una compagnia assicurativa e l’azienda di trasporti pubblici della nazione.
I ricercatori sottolineano che gli attaccanti hanno preso di mira organizzazioni di dimensioni ridotte, più piccole rispetto agli organi governativi solitamente presi di mira; il motivo è che queste realtà, pur essendo sottoposte a una pressione cyber molto intensa, spesso dedicano abbastanza attenzione alla sicurezza o non possiedono le capacità necessarie per proteggersi. “Queste organizzazioni minori possono diventare dei validi punti cardine per gli attaccanti per infiltrarsi in organizzazioni governative più grandi“.
Alcuni degli account compromessi usati nella campagna potrebbero essere stati ottenuti da attacchi precedenti ed è possibile che i nuovi account colpiti vengano usati in operazioni future.
Come proteggersi
Il team di Trend Micro ha scoperto il bug lo scorso settembre e ha immediatamente avvertito Igor Pavlov, il creatore di 7-Zip. La vulnerabilità è stata risolta nella versione 24.09 del software, rilasciata il 30 novembre.
Oltre ad aggiornare il software alla versione risolutiva, i ricercatori consigliano di implementare misure di sicurezza stringenti per il controllo delle email, con tecnologie di filtraggio e anti-spam avanzate, e di istruire i dipendenti a difendersi dagli attacchi di phishing.
È inoltre necessario sfruttare l’URL filtering per bloccare l’accesso a domini malevoli, disabilitare l’esecuzione automatica dei file con origini non riconosciute e configurare i sistemi in modo che richiedano sempre all’utente il permesso esplicito per eseguire uno script o un’applicazione.
Altro in questa categoria
如有侵权请联系:admin#unsafe.sh