Aggiornamenti recenti Aprile 11th, 2025 3:57 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Identità non umane: la nuova emergenza per i segreti aziendali
- Shuckworm prende di mira le missioni in Ucraina con device rimovibili
- ToddyCat ha sfruttato un bug di ESET per distribuire il malware TCESB
- Agenti di IA: un’arma potente nelle mani del cybercrimine
- ChatGPT ha creato un passaporto che supera la verifica dell’identità
Hacker russi fruttano un bug 0-day di 7-Zip per distribuire SmokeLoader
Il team di Threat Hunting della Zero Day Initiative di Trend Micro ha individuato una campagna malware che sfruttava un bug 0-day di 7-Zip per distribuire il malware SmokeLoader.
La vulnerabilità, tracciata come CVE-2025-0411, consente a un attaccante di eludere i controlli del Mark-of-The-Web (MoTW), un meccanismo di protezione di Windows che blocca l’esecuzione automatica di script e applicazioni non riconosciute.
Quando un utente scarica un file dal web, la feature lo identifica come sospetto per evitare che venga eseguito accidentalmente. Il bug di 7-Zip consente di eludere questi controlli semplicemente incapsulando un archivio dentro l’altro: il programma infatti non propaga correttamente i controlli di MoTW anche agli archivi interni, dove gli attaccanti possono inserire script ed eseguibili senza preoccuparsi che vengano bloccati.
La campagna per distribuire SmokeLoader
Per distribuire SmokeLoader servendosi del bug di 7-Zip, gli attaccanti hanno inviato email di phishing a diversi funzionari e dipendenti di organizzazioni ucraine. I messaggi chiedevano agli utenti di aprire il materiale allegato con una certa urgenza, senza specificare a cosa si riferisse.
Gli allegati erano dei file .zip che contenevano a loro volta un archivio creato ad hoc; questo sfruttava la manipolazione tipografica per eseguire degli attacchi omografici, nei quali cioè vengono usati caratteri speciali “mascherati” da quelli classici.
Nel caso della campagna in esame, i cybercriminali hanno usato il carattere cirillico “Es” per camuffare l’archivio interno da file .doc; in questo modo, gli utenti ignari aprivano il file e consentivano così l’esecuzione dei contenuti dell’archivio senza i controlli MoTW.
Nel dettaglio, l’apertura del file portava all’esecuzione di un file .URL presente nell’archivio che puntava a un server controllato dagli attaccanti; questo, a sua volta, scaricava un altro file .zip che conteneva l’eseguibile di SmokeLoader mascherato da file .pdf.
A quel punto, dopo aver aperto il file .pdf appena scaricato, SmokeLoader veniva installato sul dispositivo. Il malware è in grado di sottrarre dati, eseguire attacchi DDoS e minare criptovalute, oltre a scaricare nuovi moduli per potenziare le proprie attività.
Le vittime del bug di 7-Zip
Dietro la campagna ci sono diversi gruppi cybercriminali russi. Gli attacchi hanno colpito organizzazioni governative e non in Ucraina per scopi di cyberspionaggio. Tra le vittime ci sono , tra le altre, il Ministro della Giustizia, alcune aziende manifatturiere, una farmacia, una compagnia assicurativa e l’azienda di trasporti pubblici della nazione.
I ricercatori sottolineano che gli attaccanti hanno preso di mira organizzazioni di dimensioni ridotte, più piccole rispetto agli organi governativi solitamente presi di mira; il motivo è che queste realtà, pur essendo sottoposte a una pressione cyber molto intensa, spesso dedicano abbastanza attenzione alla sicurezza o non possiedono le capacità necessarie per proteggersi. “Queste organizzazioni minori possono diventare dei validi punti cardine per gli attaccanti per infiltrarsi in organizzazioni governative più grandi“.
Alcuni degli account compromessi usati nella campagna potrebbero essere stati ottenuti da attacchi precedenti ed è possibile che i nuovi account colpiti vengano usati in operazioni future.
Come proteggersi
Il team di Trend Micro ha scoperto il bug lo scorso settembre e ha immediatamente avvertito Igor Pavlov, il creatore di 7-Zip. La vulnerabilità è stata risolta nella versione 24.09 del software, rilasciata il 30 novembre.
Oltre ad aggiornare il software alla versione risolutiva, i ricercatori consigliano di implementare misure di sicurezza stringenti per il controllo delle email, con tecnologie di filtraggio e anti-spam avanzate, e di istruire i dipendenti a difendersi dagli attacchi di phishing.
È inoltre necessario sfruttare l’URL filtering per bloccare l’accesso a domini malevoli, disabilitare l’esecuzione automatica dei file con origini non riconosciute e configurare i sistemi in modo che richiedano sempre all’utente il permesso esplicito per eseguire uno script o un’applicazione.
Condividi l'articolo
Silent Lynx: il gruppo APT torna all'attacco contro Kyrgyzstan e Turkmenistan
Sophos acquisisce Secureworks e diventa il principale fornitore di servizi MDR
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci, in... -
PDF pericolosi: il 22% degli attacchi proviene da questi... I file PDF possono diventare molto pericolosi: stando a una... -
L’Italia è tra gli obiettivi principali del... L’Italia è tra i principali obiettivi del cybercrime... -
Corea del Nord: la minaccia cyber si espande in Europa... La Corea del Nord sta incrementando le proprie attività... -
Le vulnerabilità dei tool RMM aprono nuove opportunità ai... Se da una parte i tool di Remote Monitoring and Management...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Identità non umane: la nuova emergenza per i segreti... La gestione delle identità macchina è il punto critico... -
Shuckworm prende di mira le missioni in Ucraina con device... Gli attacchi di Shuckworm (a.k.a. Gamaredon) non si... -
ToddyCat ha sfruttato un bug di ESET per distribuire il... I ricercatori di Kaspersky hanno scoperto che ToddyCat, un... -
Agenti di IA: un’arma potente nelle mani del... Gli agenti di IA stanno diventando sempre più capaci,
-
ChatGPT ha creato un passaporto che supera la verifica... Borys Musielak, un ricercatore di sicurezza, ha utilizzato...
Ransomware: la serie
No posts found.
