Aggiornamenti recenti Febbraio 5th, 2025 12:07 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Hacker russi fruttano un bug 0-day di 7-Zip per distribuire SmokeLoader
- Sophos acquisisce Secureworks e diventa il principale fornitore di servizi MDR
- Meta smantella una campagna di spionaggio su WhatsApp
- CERT-AGID 25 – 31 gennaio: attacchi contro funzionari governativi e rappresentanti di ambasciate
- DeepSeek: il top della tecnologia cinese dimentica di chiudere il database esposto
Hacker russi fruttano un bug 0-day di 7-Zip per distribuire SmokeLoader
Il team di Threat Hunting della Zero Day Initiative di Trend Micro ha individuato una campagna malware che sfruttava un bug 0-day di 7-Zip per distribuire il malware SmokeLoader.
La vulnerabilità, tracciata come CVE-2025-0411, consente a un attaccante di eludere i controlli del Mark-of-The-Web (MoTW), un meccanismo di protezione di Windows che blocca l’esecuzione automatica di script e applicazioni non riconosciute.
Quando un utente scarica un file dal web, la feature lo identifica come sospetto per evitare che venga eseguito accidentalmente. Il bug di 7-Zip consente di eludere questi controlli semplicemente incapsulando un archivio dentro l’altro: il programma infatti non propaga correttamente i controlli di MoTW anche agli archivi interni, dove gli attaccanti possono inserire script ed eseguibili senza preoccuparsi che vengano bloccati.
La campagna per distribuire SmokeLoader
Per distribuire SmokeLoader servendosi del bug di 7-Zip, gli attaccanti hanno inviato email di phishing a diversi funzionari e dipendenti di organizzazioni ucraine. I messaggi chiedevano agli utenti di aprire il materiale allegato con una certa urgenza, senza specificare a cosa si riferisse.
Gli allegati erano dei file .zip che contenevano a loro volta un archivio creato ad hoc; questo sfruttava la manipolazione tipografica per eseguire degli attacchi omografici, nei quali cioè vengono usati caratteri speciali “mascherati” da quelli classici.
Nel caso della campagna in esame, i cybercriminali hanno usato il carattere cirillico “Es” per camuffare l’archivio interno da file .doc; in questo modo, gli utenti ignari aprivano il file e consentivano così l’esecuzione dei contenuti dell’archivio senza i controlli MoTW.
Nel dettaglio, l’apertura del file portava all’esecuzione di un file .URL presente nell’archivio che puntava a un server controllato dagli attaccanti; questo, a sua volta, scaricava un altro file .zip che conteneva l’eseguibile di SmokeLoader mascherato da file .pdf.
A quel punto, dopo aver aperto il file .pdf appena scaricato, SmokeLoader veniva installato sul dispositivo. Il malware è in grado di sottrarre dati, eseguire attacchi DDoS e minare criptovalute, oltre a scaricare nuovi moduli per potenziare le proprie attività.
Le vittime del bug di 7-Zip
Dietro la campagna ci sono diversi gruppi cybercriminali russi. Gli attacchi hanno colpito organizzazioni governative e non in Ucraina per scopi di cyberspionaggio. Tra le vittime ci sono , tra le altre, il Ministro della Giustizia, alcune aziende manifatturiere, una farmacia, una compagnia assicurativa e l’azienda di trasporti pubblici della nazione.
I ricercatori sottolineano che gli attaccanti hanno preso di mira organizzazioni di dimensioni ridotte, più piccole rispetto agli organi governativi solitamente presi di mira; il motivo è che queste realtà, pur essendo sottoposte a una pressione cyber molto intensa, spesso dedicano abbastanza attenzione alla sicurezza o non possiedono le capacità necessarie per proteggersi. “Queste organizzazioni minori possono diventare dei validi punti cardine per gli attaccanti per infiltrarsi in organizzazioni governative più grandi“.
Alcuni degli account compromessi usati nella campagna potrebbero essere stati ottenuti da attacchi precedenti ed è possibile che i nuovi account colpiti vengano usati in operazioni future.
Come proteggersi
Il team di Trend Micro ha scoperto il bug lo scorso settembre e ha immediatamente avvertito Igor Pavlov, il creatore di 7-Zip. La vulnerabilità è stata risolta nella versione 24.09 del software, rilasciata il 30 novembre.
Oltre ad aggiornare il software alla versione risolutiva, i ricercatori consigliano di implementare misure di sicurezza stringenti per il controllo delle email, con tecnologie di filtraggio e anti-spam avanzate, e di istruire i dipendenti a difendersi dagli attacchi di phishing.
È inoltre necessario sfruttare l’URL filtering per bloccare l’accesso a domini malevoli, disabilitare l’esecuzione automatica dei file con origini non riconosciute e configurare i sistemi in modo che richiedano sempre all’utente il permesso esplicito per eseguire uno script o un’applicazione.
Condividi l'articolo
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Privacy dei dati: la maggior parte degli utenti teme una... Quando si parla di dati e di privacy, gli utenti si dicono... -
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
L’IA generativa rivoluziona il cybercrimine e rende... Gli ultimi giorni dell’anno sono da sempre... -
Gli Stati Uniti cambiano opinione sulla crittografia e... Se finora l’FBI e il governo degli Stati Uniti ha... -
Normative di cybersecurity: non uno spauracchio, ma... Oggi le aziende italiane non solo devono affrontare nuove e...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa...
-
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Hacker russi fruttano un bug 0-day di 7-Zip per distribuire... Il team di Threat Hunting della Zero Day Initiative di... -
Sophos acquisisce Secureworks e diventa il principale... Sophos ha completato l’acquisizione di Secureworks,... -
Meta smantella una campagna di spionaggio su WhatsApp Meta ha annunciato di aver smantellato una campagna di... -
CERT-AGID 25 – 31 gennaio: attacchi contro funzionari... Questa settimana, il CERT-AGID ha identificato e analizzato... -
DeepSeek: il top della tecnologia cinese dimentica di... La rapida ascesa della startup cinese di intelligenza...
Ransomware: la serie
No posts found.
