Изображение:
Tianyi Ma (unsplash)
Недавно устранённая уязвимость в архиваторе 7-Zip оказалась инструментом для распространения вредоносного программного обеспечения SmokeLoader. Уязвимость, получившая идентификатор CVE-2025-0411 и оценённая на 7.0 баллов по шкале CVSS, позволяла злоумышленникам обходить защитный механизм mark-of-the-web (MotW) в Windows и запускать произвольный код с правами текущего пользователя. В 7-Zip эту проблему исправили в ноябре 2024 года, выпустив обновление 24.09.
Эксперт по кибербезопасности Trend Micro Питер Гирнус сообщил, что этот изъян якобы активно использовался российскими хакерскими группировками. Для атак они задействовали фишинговые кампании, в которых применялась техника гомоглифов. С её помощью злоумышленники маскировали расширения файлов, вводя в заблуждение пользователей и операционную систему Windows, что позволяло обманным путём заставить жертву запустить вредоносный объект.
Специалисты предполагают, что уязвимость могла быть частью операции кибершпионажа, направленной на правительственные и негосударственные структуры Украины.
MotW — это встроенный механизм безопасности Microsoft Windows, предназначенный для блокировки автоматического выполнения потенциально опасных файлов, загруженных из интернета. Он требует дополнительных проверок с помощью SmartScreen в составе Защитника Microsoft.
CVE-2025-0411 позволяла злоумышленникам обойти MotW, применяя двухуровневое архивирование. Создавая архив, а затем упаковывая его повторно, киберпреступники скрывали вредоносное содержимое.
Питер Гирнус отметил, что корень проблемы в том, что до обновления 24.09 7-Zip не распространял защиту MotW на вложенные архивы, содержащие двойную инкапсуляцию. В результате вредоносные файлы внутри подобных архивов не получали необходимые метки безопасности, оставляя пользователей Windows без защиты.
Первая зафиксированная атака с применением этой уязвимости произошла 25 сентября 2024 года. В ходе заражения на устройства проникал SmokeLoader — вредоносный загрузчик, который широко применяется для доставки других видов вредоносного ПО.
Вектор атаки строился на использовании фишинговых писем, содержащих подготовленные архивные файлы. Внутри этих архивов применялся приём подмены символов, что позволяло злоумышленникам выдавать ZIP-архив за документ Microsoft Word. Это приводило к активации уязвимости и последующему заражению системы.
Оригинал публикации на сайте CISOCLUB: "«Русских хакеров» обвинили в использовании уязвимости 7-Zip для обхода защиты Windows MotW".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.
