Aggiornamenti recenti Dicembre 5th, 2025 4:48 PM
partner
News Recenti
- Transparency Center Initiative di Kaspersky Lab: cosa significa per l’Italia
- Iniezione indiretta di prompt: a rischio le informazioni aziendali
- Dark Telegram in ritirata: aumentano le chiusure dei canali clandestini
- PickleScan, scoperti tre bug 0-day che permettono di iniettare payload malevoli nei modelli ML
- ShadyPanda: oltre 4 milioni di browser infetti in una campagna durata 7 anni
- Coupang conferma il data breach: esposti i dati di oltre 30 milioni di utenti
Hacker russi fruttano un bug 0-day di 7-Zip per distribuire SmokeLoader
Il team di Threat Hunting della Zero Day Initiative di Trend Micro ha individuato una campagna malware che sfruttava un bug 0-day di 7-Zip per distribuire il malware SmokeLoader.
La vulnerabilità, tracciata come CVE-2025-0411, consente a un attaccante di eludere i controlli del Mark-of-The-Web (MoTW), un meccanismo di protezione di Windows che blocca l’esecuzione automatica di script e applicazioni non riconosciute.
Quando un utente scarica un file dal web, la feature lo identifica come sospetto per evitare che venga eseguito accidentalmente. Il bug di 7-Zip consente di eludere questi controlli semplicemente incapsulando un archivio dentro l’altro: il programma infatti non propaga correttamente i controlli di MoTW anche agli archivi interni, dove gli attaccanti possono inserire script ed eseguibili senza preoccuparsi che vengano bloccati.
La campagna per distribuire SmokeLoader
Per distribuire SmokeLoader servendosi del bug di 7-Zip, gli attaccanti hanno inviato email di phishing a diversi funzionari e dipendenti di organizzazioni ucraine. I messaggi chiedevano agli utenti di aprire il materiale allegato con una certa urgenza, senza specificare a cosa si riferisse.
Gli allegati erano dei file .zip che contenevano a loro volta un archivio creato ad hoc; questo sfruttava la manipolazione tipografica per eseguire degli attacchi omografici, nei quali cioè vengono usati caratteri speciali “mascherati” da quelli classici.
Nel caso della campagna in esame, i cybercriminali hanno usato il carattere cirillico “Es” per camuffare l’archivio interno da file .doc; in questo modo, gli utenti ignari aprivano il file e consentivano così l’esecuzione dei contenuti dell’archivio senza i controlli MoTW.
Nel dettaglio, l’apertura del file portava all’esecuzione di un file .URL presente nell’archivio che puntava a un server controllato dagli attaccanti; questo, a sua volta, scaricava un altro file .zip che conteneva l’eseguibile di SmokeLoader mascherato da file .pdf.
A quel punto, dopo aver aperto il file .pdf appena scaricato, SmokeLoader veniva installato sul dispositivo. Il malware è in grado di sottrarre dati, eseguire attacchi DDoS e minare criptovalute, oltre a scaricare nuovi moduli per potenziare le proprie attività.
Le vittime del bug di 7-Zip
Dietro la campagna ci sono diversi gruppi cybercriminali russi. Gli attacchi hanno colpito organizzazioni governative e non in Ucraina per scopi di cyberspionaggio. Tra le vittime ci sono , tra le altre, il Ministro della Giustizia, alcune aziende manifatturiere, una farmacia, una compagnia assicurativa e l’azienda di trasporti pubblici della nazione.
I ricercatori sottolineano che gli attaccanti hanno preso di mira organizzazioni di dimensioni ridotte, più piccole rispetto agli organi governativi solitamente presi di mira; il motivo è che queste realtà, pur essendo sottoposte a una pressione cyber molto intensa, spesso dedicano abbastanza attenzione alla sicurezza o non possiedono le capacità necessarie per proteggersi. “Queste organizzazioni minori possono diventare dei validi punti cardine per gli attaccanti per infiltrarsi in organizzazioni governative più grandi“.
Alcuni degli account compromessi usati nella campagna potrebbero essere stati ottenuti da attacchi precedenti ed è possibile che i nuovi account colpiti vengano usati in operazioni future.
Come proteggersi
Il team di Trend Micro ha scoperto il bug lo scorso settembre e ha immediatamente avvertito Igor Pavlov, il creatore di 7-Zip. La vulnerabilità è stata risolta nella versione 24.09 del software, rilasciata il 30 novembre.
Oltre ad aggiornare il software alla versione risolutiva, i ricercatori consigliano di implementare misure di sicurezza stringenti per il controllo delle email, con tecnologie di filtraggio e anti-spam avanzate, e di istruire i dipendenti a difendersi dagli attacchi di phishing.
È inoltre necessario sfruttare l’URL filtering per bloccare l’accesso a domini malevoli, disabilitare l’esecuzione automatica dei file con origini non riconosciute e configurare i sistemi in modo che richiedano sempre all’utente il permesso esplicito per eseguire uno script o un’applicazione.
Condividi l'articolo
Silent Lynx: il gruppo APT torna all'attacco contro Kyrgyzstan e Turkmenistan
Sophos acquisisce Secureworks e diventa il principale fornitore di servizi MDR
Articoli correlati
Altro in questa categoria
Approfondimenti
-
Iniezione indiretta di prompt: a rischio le informazioni... Lakera, società di Check Point, ha pubblicato una ricerca... -
Gli LLM malevoli aiutano i piccoli cybercriminali, ma non... Dopo l’esplosione di ChatGPT e degli LLM, nel mondo... -
Codice formattato, ma migliaia di secret esposti: il... I ricercatori di watchTowr Labs hanno individuato migliaia... -
DeepSeek R1 produce codice vulnerabile con prompt... Analizzando DeepSeek R1, un potente LLM dell’omonima... -
Come Firemon supporta i propri partner nel processo di... Lo scorso marzo Skybox Security, società israeliana di...
Minacce recenti
Off topic
-
L’IA generativa unifica le interfacce di gestione e... Con l’avvento dell’IA generativa... -
Cyberinsurance: misurare il rischio umano può... Negli ultimi anni sempre più aziende stanno sottoscrivendo... -
Il machine learning di Kaspersky aumenta la capacità di... Grazie al machine learning, il Global Research and Analysis... -
I vertici aziendali non sono del tutto pronti alle nuove... Il 2024 è l’anno delle nuove normative di sicurezza:... -
Più della meta delle aziende geo-distribuite ha problemi... Una delle sfide principali delle aziende distribuite sul...
Post recenti
-
Dark Telegram in ritirata: aumentano le chiusure dei canali... Dark Telegram, il regno dei canali clandestini, non sembra... -
PickleScan, scoperti tre bug 0-day che permettono di... I ricercatori di JFrog Security Research hanno... -
ShadyPanda: oltre 4 milioni di browser infetti in una... Una campagna durata sette anni che ha infettato 4.3... -
Coupang conferma il data breach: esposti i dati di oltre 30... Coupang, colosso del retail sud-coreano, ha confermato di... -
CERT-AGID 22–28 novembre: boom di phishing PagoPA e nuovi... Nel periodo compreso tra il 22 e il 28 novembre,...
Ransomware: la serie
No posts found.