Используя технику гомоглифов, злоумышленники прятали полезную нагрузку внутри файлов 7-Zip, выдавая их за безобидные документы Word или PDF.
Хотя при открытии родительского архива распространялся флаг MoTW, из-за дефекта CVE-2025-0411 флаг не распространялся на содержимое внутреннего архива, что позволяло напрямую запускать вредоносные скрипты и исполняемые файлы.
На последнем этапе запускается полезная нагрузка SmokeLoader – вредоносная программа-дроппер, которая в прошлом использовалась для установки похитителей информации, троянов, программ-вымогателей или создания бэкдоров для постоянного доступа.
По данным Trend Micro, эти атаки затронули следующие организации:
- Государственная исполнительная служба Украины (ГИСУ) – Министерство юстиции
- Запорожский автомобилестроительный завод (ПрАО «ЗАЗ») – производитель автомобилей, автобусов и грузовиков
- Киевпастранс – Киевская служба общественного транспорта
- Компания СЭА – производитель бытовой техники, электрооборудования и электроники
- Верховинская районная государственная администрация – Ивано-Франковская областная администрация
- VUSA – страховая компания
- Днепровская городская областная аптека – областная аптека
- Киевводоканал – Киевский водоканал
- Залищинский городской совет – Городской совет
Обновить 7-Zip
Несмотря на то что обнаружение «нулевого дня» произошло в сентябре, Trend Micro понадобилось время до 1 октября 2024 года, чтобы поделиться с разработчиками 7-Zip рабочим эксплойтом для доказательства концепции (PoC).
Последние устранили риски с помощью исправления, реализованного в версии 24.09, выпущенной 30 ноября 2024 года. Однако, поскольку в 7-Zip не предусмотрена функция автоматического обновления, пользователи 7-Zip часто запускают устаревшие версии.
Поэтому настоятельно рекомендуем пользователям загрузить последнюю версию, чтобы убедиться, что они защищены от этой уязвимости.