Una
vulnerabilidad de seguridad recientemente parcheada en la herramienta
7-Zip
está siendo explotada para distribuir el malware
SmokeLoader.
La falla,
CVE-2025-0411
(CVSS: 7.0), permite a los atacantes remotos eludir las protecciones de marca
de la web (MotW) y ejecutar código arbitrario en el contexto del usuario
actual. 7-Zip la solucionó en noviembre de 2024 con la
versión 24.09.
«La vulnerabilidad fue explotada activamente por grupos de
ciberdelincuentes rusos a través de campañas de phishing, utilizando ataques
de homoglifos para falsificar extensiones de documentos y engañar a los
usuarios y al sistema operativo Windows para que ejecuten archivos
maliciosos»,
dijo el investigador de seguridad de Trend Micro, Peter Girnus.
Se sospecha que CVE-2025-0411 probablemente fue utilizada como arma para
atacar a organizaciones gubernamentales y no gubernamentales en Ucrania como
parte de una campaña de ciberespionaje en el contexto del actual conflicto
ruso-ucraniano.
MotW es una característica de seguridad implementada por Microsoft en Windows
para evitar la ejecución automática de archivos descargados de Internet sin
realizar más comprobaciones a través de Microsoft Defender SmartScreen.
CVE-2025-0411 evita MotW mediante el archivado doble de contenidos con 7-Zip,
es decir, creando un archivo comprimido y luego otro comprimido del primer
archivo para ocultar las cargas útiles maliciosas.
La causa principal de CVE-2025-0411 es que antes de la versión 24.09, 7-Zip no
propagaba correctamente las protecciones de MotW al contenido de los archivos
con doble encapsulamiento. Esto permite a los actores de amenazas crear
archivos que contienen scripts o ejecutables maliciosos que no recibirán
protecciones de MotW, lo que deja a los usuarios de Windows vulnerables a los
ataques.
Los ataques que
aprovechan la falla como Zero-Day
se detectaron por primera vez el 25 de septiembre de 2024, y las secuencias de
infección conducen a SmokeLoader, un malware que
se ha utilizado repetidamente
para atacar a Ucrania.
El punto de partida es un correo electrónico de phishing que contiene un
archivo comprimido especialmente diseñado que, a su vez, emplea un ataque de
homoglifo para hacer pasar el archivo ZIP interno como un archivo de documento
de Microsoft Word, lo que activa efectivamente la vulnerabilidad.
Los mensajes de phishing, según Trend Micro, se enviaron desde direcciones de
correo electrónico asociadas con los órganos de gobierno y cuentas comerciales
de Ucrania tanto a organizaciones municipales como a empresas, lo que sugiere
un compromiso previo.
«El uso de estas cuentas de correo electrónico comprometidas le da un aire
de autenticidad a los correos electrónicos enviados a los objetivos,
manipulando a las víctimas potenciales para que confíen en el contenido y
sus remitentes», señaló Girnus.
Este enfoque conduce a la ejecución de un archivo de acceso directo a Internet
(.URL) presente en el archivo ZIP, que apunta a un servidor controlado por el
atacante que aloja otro archivo ZIP. El ZIP recién descargado contiene el
ejecutable SmokeLoader que está disfrazado de un documento PDF.
Se ha evaluado que al menos nueve entidades gubernamentales ucranianas y otras
organizaciones se vieron afectadas por la campaña, incluido el Ministerio de
Justicia, el Servicio de Transporte Público de Kiev, la Compañía de
Abastecimiento de Agua de Kiev y el Ayuntamiento.
En vista de la explotación activa de CVE-2025-0411, se recomienda a los
usuarios que actualicen sus instalaciones a la última versión, implementen
funciones de filtrado de correo electrónico para bloquear los intentos de
phishing y deshabiliten la ejecución de archivos de fuentes no
confiables.
Fuente: THN | Cybersecuritynews