Una vulnerabilidad de seguridad recientemente parcheada en la utensilio de Archiver de 7 ZIP fue explotada en la naturaleza para entregar el malware Smokeloader.
El defecto, CVE-2025-0411 (Puntuación CVSS: 7.0), permite a los atacantes remotos eludir las protecciones de Mark-of-the-Web (MOTW) y ejecutar código caprichoso en el contexto del adjudicatario presente. Fue abordado por 7-Zip en noviembre de 2024 con la lectura 24.09.
“La vulnerabilidad fue explotada activamente por los grupos de delitos cibernéticos rusos a través de campañas de phishing de gancho, utilizando ataques de homoglíficos para falsificar extensiones de documentos y usuarios de trucos y el sistema operante de Windows para ejecutar archivos maliciosos”, dijo el investigador de tendencia Micro Security Peter Girnus.
Se sospecha que CVE-2025-0411 probablemente fue armado para dirigirse a organizaciones gubernamentales y no gubernamentales en Ucrania como parte de una campaña de espionaje cibernético establecido en el contexto del conflicto ruso-ucraniano en curso.
MOTW es una característica de seguridad implementada por Microsoft en Windows para evitar la ejecución cibernética de archivos descargados desde Internet sin realizar más cheques a través de Microsoft Defender SmartScreen.
CVE-2025-0411 omite MOTW mediante el doble de contenido de archivo usando 7-ZIP, es afirmar, creando un archivo y luego un archivo del archivo para ocultar las cargas enseres maliciosas.
“La causa raíz de CVE-2025-0411 es que ayer de la lectura 24.09, 7-ZIP no propagó correctamente las protecciones de MOTW al contenido de los archivos de doble encapsulación”, explicó Girnus. “Esto permite a los actores de amenaza a elaborar archivos que contengan scripts maliciosos o ejecutables que no recibirán protecciones MOTW, dejando a los usuarios de Windows vulnerables a los ataques”.
Los ataques que aprovechan el defecto como un día cero se detectaron por primera vez en la naturaleza el 25 de septiembre de 2024, con las secuencias de infección que conducen a Smokeloader, un malware del cargador que se ha utilizado repetidamente para apuntar a Ucrania.
El punto de partida es un correo electrónico de phishing que contiene un archivo de archivo especialmente cuidado que, a su vez, emplea un ataque de homoglíficos para advenir el archivo zip interno como un archivo de documento de Microsoft Word, desencadenando efectivamente la vulnerabilidad.
Los mensajes de phishing, por tendencia micro, se enviaron desde direcciones de correo electrónico asociadas con los órganos de gobierno ucranianos y las cuentas comerciales a organizaciones municipales y empresas, lo que sugiere un compromiso previo.
“El uso de estas cuentas de correo electrónico comprometidas presta un brisa de autenticidad a los correos electrónicos enviados a los objetivos, manipulando a posibles víctimas para creer en el contenido y sus remitentes”, señaló Girnus.
Este enfoque lleva a la ejecución de un archivo de camino directo de Internet (.URL) presente adentro del archivo ZIP, que apunta a un servidor controlado por el atacante que aloja otro archivo zip. El zip recién descargado contiene el ejecutable Smokeloader disfrazado de documento PDF.
Se ha evaluado al menos nueve entidades del gobierno ucraniano y otras organizaciones que se ven afectadas por la campaña, incluido el Servicio de Jurisprudencia, el Servicio de Transporte Divulgado de Kiev, la Compañía de Suministro de Agua de Kiev y el Concejo.
A la luz de la explotación activa de CVE-2025-0411, se recomienda a los usuarios renovar sus instalaciones a la última lectura, implementar funciones de filtrado de correo electrónico para rodear los intentos de phishing y deshabilitar la ejecución de archivos de fuentes no confiables.
“Una conclusión interesante que notamos en las organizaciones dirigidas y afectadas en esta campaña son los cuerpos del gobierno regional más pequeños”, dijo Girnus.
“Estas organizaciones a menudo están bajo una intensa presión cibernética, pero a menudo se pasan por suspensión, menos cibernéticas, y carecen de los medios para una logística cibernética integral que tienen las organizaciones gubernamentales más grandes. Estas organizaciones más pequeñas pueden ser valiosos puntos de pivote por parte de los actores de amenaza para que pivote a un gobierno más amplio. organizaciones “.
