Un recientemente parcheado vulnerabilidad de seguridad En la herramienta de Archiver 7-Zip fue explotada en la naturaleza para entregar el malware Smokeloader.
El defecto, CVE-2025-0411 (Puntuación CVSS: 7.0), permite a los atacantes remotos eludir las protecciones de Mark-of-the-Web (MOTW) y ejecutar código arbitrario en el contexto del usuario actual. Fue dirigido por 7-Zip en noviembre de 2024 con Versión 24.09.
“La vulnerabilidad fue explotada activamente por los grupos de delitos cibernéticos rusos a través de campañas de phishing de lanza, utilizando ataques de homoglíficos para falsificar extensiones de documentos y a los usuarios de trucos y el sistema operativo de Windows en la ejecución de archivos maliciosos”, el investigador de tendencia de Micro Security Peter Girnus dicho.
Se sospecha que CVE-2025-0411 probablemente fue armado para dirigirse a organizaciones gubernamentales y no gubernamentales en Ucrania como parte de una campaña de espionaje cibernético establecido en el contexto del conflicto ruso-ucraniano en curso.
MOTW es una característica de seguridad implementada por Microsoft en Windows para evitar la ejecución automática de archivos descargados desde Internet sin realizar más cheques a través de Microsoft Defender SmartScreen.
CVE-2025-0411 omite MOTW mediante el doble de contenido de archivo usando 7-ZIP, es decir, creando un archivo y luego un archivo del archivo para ocultar las cargas útiles maliciosas.
“La causa raíz de CVE-2025-0411 es que antes de la versión 24.09, 7-ZIP no propagó correctamente las protecciones de MOTW al contenido de los archivos de doble encapsulación”, explicó Girnus. “Esto permite a los actores de amenaza a elaborar archivos que contengan scripts maliciosos o ejecutables que no recibirán protecciones MOTW, dejando a los usuarios de Windows vulnerables a los ataques”.
Los ataques que aprovechan el defecto como un día cero se detectaron por primera vez en la naturaleza el 25 de septiembre de 2024, con las secuencias de infección que conducen a Smokeloader, un malware del cargador que se ha utilizado repetidamente para apuntar a Ucrania.
El punto de partida es un correo electrónico de phishing que contiene un archivo de archivo especialmente elaborado que, a su vez, emplea un ataque de homoglíficos para pasar el archivo zip interno como un archivo de documento de Microsoft Word, desencadenando efectivamente la vulnerabilidad.
Los mensajes de phishing, por tendencia micro, se enviaron desde direcciones de correo electrónico asociadas con los órganos de gobierno ucranianos y las cuentas comerciales a organizaciones municipales y empresas, lo que sugiere un compromiso previo.
“El uso de estas cuentas de correo electrónico comprometidas presta un aire de autenticidad a los correos electrónicos enviados a los objetivos, manipulando a posibles víctimas para confiar en el contenido y sus remitentes”, señaló Girnus.
Este enfoque lleva a la ejecución de un archivo de acceso directo de Internet (.URL) presente dentro del archivo ZIP, que apunta a un servidor controlado por el atacante que aloja otro archivo zip. El zip recién descargado contiene el ejecutable Smokeloader disfrazado de documento PDF.
Se ha evaluado al menos nueve entidades del gobierno ucraniano y otras organizaciones que se ven afectadas por la campaña, incluido el Ministerio de Justicia, el Servicio de Transporte Público de Kiev, la Compañía de Suministro de Agua de Kiev y el Ayuntamiento.
A la luz de la explotación activa de CVE-2025-0411, se recomienda a los usuarios actualizar sus instalaciones a la última versión, implementar funciones de filtrado de correo electrónico para bloquear los intentos de phishing y deshabilitar la ejecución de archivos de fuentes no confiables.
“Una conclusión interesante que notamos en las organizaciones dirigidas y afectadas en esta campaña son los cuerpos del gobierno local más pequeños”, dijo Girnus.
“Estas organizaciones a menudo están bajo una intensa presión cibernética, pero a menudo se pasan por alto, menos cibernéticas, y carecen de los recursos para una estrategia cibernética integral que tienen las organizaciones gubernamentales más grandes. Estas organizaciones más pequeñas pueden ser valiosos puntos de pivote por parte de los actores de amenaza para que pivote a un gobierno más grande. organizaciones “.
About the Author
