La sicurezza informatica è un argomento sempre più importante, soprattutto in un’epoca in cui i cyberattacchi sono sempre più sofisticati e frequenti. Una recente campagna di cyberspionaggio russa ha sfruttato una vulnerabilità 0-day in 7-Zip per distribuire il malware SmokeLoader in Ucraina. In questo articolo, esploreremo come questa vulnerabilità sia stata sfruttata e quali sono le misure di sicurezza che le organizzazioni devono prendere per proteggersi.
La Vulnerabilità 0-day in 7-Zip
7-Zip è un software di compressione dei file molto popolare e utilizzato su Windows. Tuttavia, una vulnerabilità 0-day (un bug non ancora noto al pubblico) è stata scoperta nel software, che consente agli attaccanti di bypassare i controlli di sicurezza del Mark-of-the-Web (MoTW) di Windows. Il MoTW è un meccanismo di protezione che blocca l’esecuzione automatica di script e applicazioni non riconosciute, identificando i file provenienti da zone non sicure come il web.
La vulnerabilità, tracciata come CVE-2025-0411, permette agli attaccanti di eludere questi controlli semplicemente incapsulando un archivio dentro l’altro. Il programma infatti non propaga correttamente i controlli di MoTW anche agli archivi interni, dove gli attaccanti possono inserire script ed eseguibili senza preoccuparsi che vengano bloccati.
La Campagna di Cyberspionaggio
La campagna di cyberspionaggio russa ha iniziato a sfruttare questa vulnerabilità nel settembre 2024. Gli attaccanti hanno inviato spear-phishing emails contenenti file malici incapsulati in archivi 7-Zip. Questi file, una volta estratti e eseguiti, hanno scaricato il malware SmokeLoader sulle macchine delle vittime.
Il Malware SmokeLoader
SmokeLoader è un malware noto per la sua versatilità e capacità di evasione. È un loader di malware che facilita la distribuzione di payload secondari come ransomware e data stealers. Questo malware è associato a gruppi di cybercrime sofisticati e APTs (Advanced Persistent Threats), rendendolo difficile da rilevare e da eliminare.
Come Funziona SmokeLoader
SmokeLoader esegue l’attacco direttamente scaricando plugin da un server C2 (Command and Control) che recuperano cookie, informazioni di autofill, indirizzi email e credenziali di accesso dai browser popolari. Questo malware è stato identificato in attacchi mirati a aziende in Taiwan, comprese quelle del settore manifatturiero, sanitario e tecnologico dell’informazione.
Mitigazioni e Consigli
Per proteggersi da questa vulnerabilità, le organizzazioni devono prendere alcune misure importanti:
- Aggiornamento di 7-Zip: Assicurarsi di utilizzare la versione più recente di 7-Zip, che include il patch per la vulnerabilità CVE-2025-0411.
- Filtri Email Robusti: Implementare strumenti di filtraggio email robusti per rilevare e bloccare email phishing.
- Formazione degli Impiegati: Addestrare gli impiegati a riconoscere gli attacchi phishing basati su homoglyph, che utilizzano caratteri Cyrillic che sembrano Latin.
- Disabilitazione dell’Esecuzione Automatica: Disabilitare l’esecuzione automatica dei file provenienti da fonti non sicure.
- Sicurezza dei Punti Finale: Implementare misure di sicurezza avanzate sui punti finale, come il blocco dei domini sospetti.
- Monitoraggio Continuo: Monitorare costantemente le attività del sistema per rilevare eventuali attacchi.
La vulnerabilità 0-day in 7-Zip rappresenta un esempio chiaro di come le vulnerabilità software possano essere sfruttate da attacchi maliziosi. È fondamentale che le organizzazioni mantengano sempre aggiornate le loro applicazioni e strumenti, implementino misure di sicurezza robuste e addestrino i propri dipendenti a riconoscere e evitare gli attacchi. In questo modo, possono proteggersi efficacemente da minacce sempre più sofisticate.
Fonte: https://cybersecuritynews.com/7-zip-zero-day-vulnerability-smokeloader-malware
