Hackers Russos exploram falha no 7-Zip para bypassar proteções do Windows

Uma vulnerabilidade recentemente corrigida no 7-Zip foi explorada para distribuir o malware SmokeLoader.

A falha, identificada como CVE-2025-0411 (pontuação CVSS: 7.0), permite que hackers burlem as proteções Mark-of-the-Web (MotW) do Windows e executem código arbitrário com os privilégios do usuário atual. O problema foi corrigido na versão 24.09 do 7-Zip, lançada em novembro de 2024.

Segundo o pesquisador de segurança da Trend Micro, Peter Girnus, grupos hackers russos exploraram ativamente essa vulnerabilidade em campanhas de spear-phishing, utilizando ataques homoglifos para disfarçar extensões de arquivos e enganar usuários e o sistema operacional Windows para executar arquivos maliciosos.

Há indícios de que essa falha foi usada para atacar organizações governamentais e não governamentais na Ucrânia, como parte de uma campanha de espionagem cibernética no contexto do conflito entre Rússia e Ucrânia.

Como funciona a exploração da falha

O MotW é um recurso de segurança do Windows que impede a execução automática de arquivos baixados da internet sem verificação pelo Microsoft Defender SmartScreen. A falha CVE-2025-0411 permite contornar essa proteção ao empacotar os arquivos maliciosos em arquivos duplamente compactados no 7-Zip, ocultando as cargas maliciosas.

"A raiz do problema é que, antes da versão 24.09, o 7-Zip não propagava corretamente as proteções do MotW para arquivos encapsulados duas vezes", explicou Girnus. "Isso permitia que hackers criassem arquivos contendo scripts ou executáveis maliciosos que escapavam das proteções do MotW, deixando os usuários vulneráveis."

O primeiro ataque explorando essa falha como zero-day foi detectado em 25 de setembro de 2024, levando à infecção pelo SmokeLoader, um malware amplamente utilizado contra a Ucrânia.

O vetor inicial do ataque é um e-mail de phishing contendo um arquivo compactado especialmente criado. Esse arquivo utiliza um ataque homoglífico para se passar por um documento Microsoft Word, desencadeando a vulnerabilidade.

Segundo a Trend Micro, os e-mails maliciosos foram enviados a partir de contas comprometidas de órgãos governamentais ucranianos e empresas locais, indicando que os hackers já haviam invadido esses sistemas previamente.

Esse método aumenta a credibilidade das mensagens, induzindo as vítimas a confiar no conteúdo e executar os arquivos infectados. Uma vez aberto, o arquivo malicioso executa um atalho da internet (.URL) dentro do ZIP, que direciona o usuário a um servidor controlado pelos hackers. Esse servidor hospeda outro arquivo ZIP, que contém o executável SmokeLoader disfarçado de documento PDF.

Organizações afetadas

Pelo menos nove entidades governamentais e outras organizações ucranianas foram impactadas pela campanha, incluindo:

• Ministério da Justiça da Ucrânia

• Serviço de Transporte Público de Kiev

• Companhia de Abastecimento de Água de Kiev

• Conselho Municipal de Kiev

Medidas de segurança recomendadas

Diante da exploração ativa da CVE-2025-0411, os usuários devem:

• Atualizar o 7-Zip para a versão 24.09 ou superior.

• Habilitar filtros de e-mail para bloquear tentativas de phishing.

• Desativar a execução automática de arquivos de fontes não confiáveis.

Girnus também destacou que órgãos governamentais locais são alvos frequentes desses ataques devido à falta de recursos para uma estratégia robusta de cibersegurança, tornando-se pontos de entrada para ataques contra instituições maiores.

Via - THN