Un recientemente parcheado vulnerabilidad de seguridad<\/a> En la herramienta de Archiver 7-Zip fue explotada en la naturaleza para entregar el malware Smokeloader.<\/p>\n El defecto, CVE-2025-0411<\/a><\/strong> (Puntuaci\u00f3n CVSS: 7.0), permite a los atacantes remotos eludir las protecciones de Mark-of-the-Web (MOTW) y ejecutar c\u00f3digo arbitrario en el contexto del usuario actual. Fue dirigido por 7-Zip en noviembre de 2024 con Versi\u00f3n 24.09<\/a>.<\/p>\n “La vulnerabilidad fue explotada activamente por los grupos de delitos cibern\u00e9ticos rusos a trav\u00e9s de campa\u00f1as de phishing de lanza, utilizando ataques de homogl\u00edficos para falsificar extensiones de documentos y a los usuarios de trucos y el sistema operativo de Windows en la ejecuci\u00f3n de archivos maliciosos”, el investigador de tendencia de Micro Security Peter Girnus dicho<\/a>.<\/p>\n Se sospecha que CVE-2025-0411 probablemente fue armado para dirigirse a organizaciones gubernamentales y no gubernamentales en Ucrania como parte de una campa\u00f1a de espionaje cibern\u00e9tico establecido en el contexto del conflicto ruso-ucraniano en curso.<\/p>\n MOTW es una caracter\u00edstica de seguridad implementada por Microsoft en Windows para evitar la ejecuci\u00f3n autom\u00e1tica de archivos descargados desde Internet sin realizar m\u00e1s cheques a trav\u00e9s de Microsoft Defender SmartScreen.<\/p>\n CVE-2025-0411 omite MOTW mediante el doble de contenido de archivo usando 7-ZIP, es decir, creando un archivo y luego un archivo del archivo para ocultar las cargas \u00fatiles maliciosas.<\/p>\n “La causa ra\u00edz de CVE-2025-0411 es que antes de la versi\u00f3n 24.09, 7-ZIP no propag\u00f3 correctamente las protecciones de MOTW al contenido de los archivos de doble encapsulaci\u00f3n”, explic\u00f3 Girnus. “Esto permite a los actores de amenaza a elaborar archivos que contengan scripts maliciosos o ejecutables que no recibir\u00e1n protecciones MOTW, dejando a los usuarios de Windows vulnerables a los ataques”.<\/p>\n Los ataques que aprovechan el defecto como un d\u00eda cero se detectaron por primera vez en la naturaleza el 25 de septiembre de 2024, con las secuencias de infecci\u00f3n que conducen a Smokeloader, un malware del cargador que se ha utilizado repetidamente para apuntar a Ucrania.<\/p>\n El punto de partida es un correo electr\u00f3nico de phishing que contiene un archivo de archivo especialmente elaborado que, a su vez, emplea un ataque de homogl\u00edficos para pasar el archivo zip interno como un archivo de documento de Microsoft Word, desencadenando efectivamente la vulnerabilidad.<\/p>\n Los mensajes de phishing, por tendencia micro, se enviaron desde direcciones de correo electr\u00f3nico asociadas con los \u00f3rganos de gobierno ucranianos y las cuentas comerciales a organizaciones municipales y empresas, lo que sugiere un compromiso previo.<\/p>\n “El uso de estas cuentas de correo electr\u00f3nico comprometidas presta un aire de autenticidad a los correos electr\u00f3nicos enviados a los objetivos, manipulando a posibles v\u00edctimas para confiar en el contenido y sus remitentes”, se\u00f1al\u00f3 Girnus.<\/p>\n Este enfoque lleva a la ejecuci\u00f3n de un archivo de acceso directo de Internet (.URL) presente dentro del archivo ZIP, que apunta a un servidor controlado por el atacante que aloja otro archivo zip. El zip reci\u00e9n descargado contiene el ejecutable Smokeloader disfrazado de documento PDF.<\/p>\n Se ha evaluado al menos nueve entidades del gobierno ucraniano y otras organizaciones que se ven afectadas por la campa\u00f1a, incluido el Ministerio de Justicia, el Servicio de Transporte P\u00fablico de Kiev, la Compa\u00f1\u00eda de Suministro de Agua de Kiev y el Ayuntamiento.<\/p>\n![\"Ciberseguridad\"](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2025\/02\/Grupos-de-delito-cibernetico-ruso-que-explotan-una-falla-de.png\")
<\/a><\/center><\/div>\n