Hackuritate

Icon-linkedin Facebook X-twitter BlueSky
știri infosec zise pe românește

Hackerii ruși exploatează zero-day în 7-Zip și evită protecția Windows Mark of the Web

Hackerii ruși au exploatat o vulnerabilitate zero-day (CVE-2025-0411) în aplicația de arhivare 7-Zip pentru a evita protecția Mark of the Web din Windows în execuția de fișiere malițioase.

Atacurile au vizat organizații guvernamentale și civile ucrainene și s-au bazat pe folosirea de caractere chirilice care seamănă cu cele latine (omoglife) pentru mascarea extensiei fișierelor.

Mark of the Web (MotW) este un mecanism de protecție prin care Windows marchează fișierele descărcate de pe internet, care au potențial de phishing, pentru ca Microsoft Defender SmartScreen să le analizez mai amănunțit.

MotW este și motivul pentru care utilizatorul primește o alertă suplimentară când deschide un fișier extern cu au o extensie cu grad crescut de risc.

Arhivare stil Matryoshka

Anul trecut pe 25 septembrie, echipa Zero Day Initiative (ZDI) de la Trend Micro a descoperit o vulnerabilitate zero day folosită în atacuri phishing țintite (spearphishing) asupra unor organizații din Ucraina.

Scopul atacurilor a fost cel mai probabil spionajul iar hackerii s-au folosit de accesul obținut pentru a planta malware-ul SmokeLoader, folosit în general ca backdoor incă din 2011 și mai recent ca loader de alte fișiere malițioase.

Vulnerabilitatea CVE-2025-0411 a fost reparată în versiunea 7-Zip 24.09 lansată anul trecut pe 30 noiembrie, și consistă în faptul ca aplicația de arhivare nu transmite marcajul MotW fișierelor extrase dintr-o arhivă provenită dintr-un mediu extern (network share, email, internet).

Hackerii ruși au obținut eliminarea marcajului MotW prin folosirea aplicației 7-Zip pentru dublă arhivare, adică încapsularea unei arhive în alta.

Demo exploatare CVE-2025-0411Trend Micro

Mai mult de atât, experții în securitate cibernetică au observat în aceste atacuri zero-day că actorul din spatele campaniei SmokeLoader a folosit caractere chirilice pentru extensia fișierelor malițioase încât să pară a fi documente Microsoft Word.

Victima vizată era astfel păcălită să le extragă din arhivă, ceea ce activa vulnerabilitatea CVE-2025-0411, și le salva local fără marcajul MotW.

Un exemplu concret folosit în atacuri este o arhivă numită „Documente și Plăți” (Документи та платежи.7z) care conținea un fișier cu numele „Listă” (Спiсок.doс) cu o extensie ce-l deghiza ca document Word dar era de fapt tot o arhivă, cu scripturi malițioase.

Arhiva ZIP deghizată ca document Microsoft WordTrend Micro

Experții Trend Micro spun că în cazul extensiei .doc hackerii s-au folosit de un atac omoglif/omograf, prin folosirea caracterului chirilic „Es” pe care calculatorul îl reprezintă ca litera „c” din alfabetul latin.

În interiorul arhivei cu numele „Listă”, care nu purta marcajul MotW datorită exploatării vulnerabilității CVE-2025-0411, se afla un fișier URL deghizat ca arhivă ZIP care ducea la descărcarea unei alte arhive cu un executabil malițios cu numele „Ordin de plată în moneda națională”, de asemenea deghizat ca document (PDF) .

Odată lansat executabilul, acesta executa malware-ul SmokeLoader și atacatorul obținea accesul inițial pe calculatorul victimei.

Printre organizațiile ucrainiene afectate sau vizate de atacul zero day prin exploatarea vulnerabilității CVE-2025-0411 se află:

  • Serviciul Executiv de Stat al Ucrainei (SES) – Ministerul Justiției
  • Uzina de Construcții Auto Zaporizhzhia (PrJSC ZAZ)
  • Kyivpastrans – serviciul de transport public din Kiev
  • Compania SEA – producător de electrocasnice, echipamente electrice și electronice
  • Administrația de Stat a Districtului Verkhovyna
  • VUSA – companie de asigurări
  • Farmacia Regională a orașului Dnipro
  • Kiev Vodokanal – compania de apă a Kievului
  • Consiliul orașului Zalishchyky

De menționat că experții Trend Micro atribuie aceste atacuri unor grupări de infractori cibernetici ruși, și nu actori statali, probabil în contextul sprijinului conflictului din Ucraina.

Atât organizațiilor cât și utilizatorilor obișnuiți ai aplicației 7-Zip li se recomandă să folosească ultima versiune a utilitarului.

Companiile ar trebui să aibă implementate măsuri stricte de protecție a emailurilor, inclusiv de filtrare și anti-spam pentru blocarea atacurilor de tip spearphishing.

O altă recomandare este dezactivarea execuției automate a fișierelor din surse nesigure și configurarea sistemelor pentru a solicita utilizatorilor verificarea înainte de a deschide astfel de fișiere.

Tehnologia de filtrare și monitorizare a domeniului poate ajuta la detectarea și blocarea atacurilor de phishing bazate pe omoglife.

De asemenea, se recomandă filtrarea URL pentru a bloca accesul la domeniile rău intenționate cunoscute și actualizarea în mod regulat a listelor cu domeniile de amenințări nou identificate.

Tags

Picture of Mihai Barnea

Mihai Barnea

Tânăr aspirant la statutul de jurnalist, ajuns deocamdată la nivelul de reporter subscris principiului de informare corectă a publicului.
știri conexe
Stay Connected
Like Us On Facebook
Follow Us On Twitter
Subscribe To Our Channel
ultimele știri
Category
Lorem ipsum dolor sit amet, consectetur adipiscing elit eiusmod tempor ncididunt ut labore et dolore magna