7-Zip usato dai russi per attaccare l'Ucraina sfruttando una falla nota (e risolta)

Non molto tempo fa vi abbiamo segnalato l'esistenza di una vulnerabilità in vecchie versioni di 7-Zip che consente a malintenzionati di eseguire codice da remoto sul PC durante l'estrazione di un file compresso infetto.

Ebbene, secondo i ricercatori di Trend Micro, la falla è stata usata per impiantare il malware SmokeLoader nei PC di aziende private e apparati governativi ucraini. L'attacco è stato attribuito a gruppi russi.

Questa vulnerabilità permette ai malintenzionati di bypassare la funzione di sicurezza Mark of the Web (MotW) di Windows. Mark of the Web (MotW) è una funzionalità di sicurezza ideata per garantire una migliore protezione dai file dannosi scaricati. Quando un documento o un eseguibile viene scaricato da Internet, Windows aggiunge un flusso di dati alternativo chiamato 'Zone.Id', noto come Mark of the Web.

Questo identificatore comunica a Windows e alle applicazioni supportate che il file è stato scaricato da un altro computer o da Internet e, pertanto, potrebbe essere rischioso aprirlo. Quando si apre un file, Windows controlla la presenza del MoTW e, se presente, mostra un avviso chiedendo conferma prima dell'esecuzione.

La falla di sicurezza è stata risolta nella versione 24.09 di 7-Zip, distribuita il 30 novembre, ma poiché il software non integra una funzione di aggiornamento automatico, sono in molti a non essere passati all'ultima versione.

I cybercriminali russi hanno sfruttato la vulnerabilità creando archivi annidati (un archivio dentro un altro), permettendo l'esecuzione di file dannosi senza attivare avvisi. Sebbene l'apertura dell'archivio principale propaghi l'avviso MoTW, la falla fa sì che non si propaghi al contenuto dell' archivio interno, consentendo l'avvio diretto di script ed eseguibili dannosi.

Inviando i file infetti tramite e-mail di phishing da account governativi ucraini compromessi (rendendoli così più credibili), i cybercriminali sono riusciti a distribuire il payload di SmokeLoader, usato per installare info-stealer, trojan, ransomware o creare backdoor per un accesso persistente. Per ingannare le vittime e indurle a scaricare e aprire l'allegato, gli aggressori hanno usato un attacco omoglifo, sfruttando la somiglianza tra alcuni caratteri tipografici.

Trend Micro afferma che questi attacchi hanno colpito le seguenti organizzazioni:

• State Executive Service of Ukraine (SES) - Ministero della Giustizia
• Zaporizhzhia Automobile Building Plant (PrJSC ZAZ) - Produttore di automobili, autobus e camion
• Kyivpastrans - Servizio di trasporto pubblico di Kiev
• SEA Company - Produttore di elettrodomestici, apparecchiature elettriche ed elettroniche
• Verkhovyna District State Administration - Amministrazione dell'oblast di Ivano-Frankivsk
• VUSA - Compagnia assicurativa
• Dnipro City Regional Pharmacy - Farmacia regionale
• Kyivvodokanal - Società di approvvigionamento idrico di Kiev
• Zalishchyky City Council - Consiglio comunale

In sintesi, se non avete ancora aggiornato 7-Zip, vi suggeriamo di farlo manualmente visitando questo indirizzo.