Una vulnerabilidad de seguridad recientemente parcheada en la herramienta 7-Zip está siendo explotada para distribuir el malware SmokeLoader.
La falla, CVE-2025-0411 (CVSS: 7.0), permite a los atacantes remotos eludir las protecciones de marca de la web (MotW) y ejecutar código arbitrario en el contexto del usuario actual. 7-Zip la solucionó en noviembre de 2024 con la versión 24.09.
"La vulnerabilidad fue explotada activamente por grupos de ciberdelincuentes rusos a través de campañas de phishing, utilizando ataques de homoglifos para falsificar extensiones de documentos y engañar a los usuarios y al sistema operativo Windows para que ejecuten archivos maliciosos", dijo el investigador de seguridad de Trend Micro, Peter Girnus.
Se sospecha que CVE-2025-0411 probablemente fue utilizada como arma para atacar a organizaciones gubernamentales y no gubernamentales en Ucrania como parte de una campaña de ciberespionaje en el contexto del actual conflicto ruso-ucraniano.
MotW es una característica de seguridad implementada por Microsoft en Windows para evitar la ejecución automática de archivos descargados de Internet sin realizar más comprobaciones a través de Microsoft Defender SmartScreen.
CVE-2025-0411 evita MotW mediante el archivado doble de contenidos con 7-Zip, es decir, creando un archivo comprimido y luego otro comprimido del primer archivo para ocultar las cargas útiles maliciosas.
La causa principal de CVE-2025-0411 es que antes de la versión 24.09, 7-Zip no propagaba correctamente las protecciones de MotW al contenido de los archivos con doble encapsulamiento. Esto permite a los actores de amenazas crear archivos que contienen scripts o ejecutables maliciosos que no recibirán protecciones de MotW, lo que deja a los usuarios de Windows vulnerables a los ataques.
Los ataques que aprovechan la falla como Zero-Day se detectaron por primera vez el 25 de septiembre de 2024, y las secuencias de infección conducen a SmokeLoader, un malware que se ha utilizado repetidamente para atacar a Ucrania.
El punto de partida es un correo electrónico de phishing que contiene un archivo comprimido especialmente diseñado que, a su vez, emplea un ataque de homoglifo para hacer pasar el archivo ZIP interno como un archivo de documento de Microsoft Word, lo que activa efectivamente la vulnerabilidad.
Los mensajes de phishing, según Trend Micro, se enviaron desde direcciones de correo electrónico asociadas con los órganos de gobierno y cuentas comerciales de Ucrania tanto a organizaciones municipales como a empresas, lo que sugiere un compromiso previo.
"El uso de estas cuentas de correo electrónico comprometidas le da un aire de autenticidad a los correos electrónicos enviados a los objetivos, manipulando a las víctimas potenciales para que confíen en el contenido y sus remitentes", señaló Girnus.
Este enfoque conduce a la ejecución de un archivo de acceso directo a Internet (.URL) presente en el archivo ZIP, que apunta a un servidor controlado por el atacante que aloja otro archivo ZIP. El ZIP recién descargado contiene el ejecutable SmokeLoader que está disfrazado de un documento PDF.
Se ha evaluado que al menos nueve entidades gubernamentales ucranianas y otras organizaciones se vieron afectadas por la campaña, incluido el Ministerio de Justicia, el Servicio de Transporte Público de Kiev, la Compañía de Abastecimiento de Agua de Kiev y el Ayuntamiento.
En vista de la explotación activa de CVE-2025-0411, se recomienda a los usuarios que actualicen sus instalaciones a la última versión, implementen funciones de filtrado de correo electrónico para bloquear los intentos de phishing y deshabiliten la ejecución de archivos de fuentes no confiables.
Fuente: THN | Cybersecuritynews