I ricercatori di Trend Micro avevano scoperto una grave vulnerabilità in 7-Zip a fine settembre 2024 (resa nota a fine gennaio dopo il rilascio della patch). Gli stessi ricercatori hanno ora individuato una serie di attacchi effettuati da cybercriminali russi contro target ucraini per distribuire SmokeLoader.
Descrizione degli attacchi
La vulnerabilità, corretta con la versione 24.09 di 7-Zip, permetteva di aggirare la protezione Mark of the Web (MotW) di Windows. È un identificatore che viene aggiunto a tutti i file scaricati da Internet o ricevuti via email.
Quando l’utente apre il file, Defender SmartScreen mostra un avviso di sicurezza che indica la provenienza poco sicura (un simile avviso viene mostrato anche nelle applicazioni Office). Il bug di 7-Zip consentiva di aggirare la protezione se un file eseguibile veniva estratto da un archivio presente in un altro archivio.
I ricercatori di Trend Micro hanno rilevato questi doppi archivi in email di phishing inviate ad account del governo ucraino da cybercriminali russi. Per nascondere i file eseguibili hanno sfruttato gli omoglifi. I file sembravano normali documenti Word o PDF.
Se l’ignara vittima eseguiva il file veniva installato SmokeLoader, un noto malware che può scaricare infostealer, trojan e ransomware. Permette anche di creare una backdoor e quindi di fornire ai cybercriminali l’accesso remoto al computer.
È necessario implementare filtri più efficaci per le email e soprattutto utilizzare la versione più recente di 7-Zip per Windows (al momento è 24.09 rilasciata il 29 novembre 2024).
Ti potrebbe interessare
9 feb 2025