La recente vulnerabilità di sicurezza scoperta nel software 7-Zip è stata sfruttata da gruppi di cybercriminali russi per distribuire il malware SmokeLoader. Questa falla, identificata con il codice CVE-2025-0411 e un punteggio CVSS di 7.0, consente agli aggressori remoti di bypassare le protezioni Mark-of-the-Web (MotW) e di eseguire codice arbitrario nel contesto dell'utente corrente. La vulnerabilità è stata risolta da 7-Zip nel novembre 2024 con la versione 24.09.

La vulnerabilità è stata attivamente sfruttata attraverso campagne di spear-phishing, utilizzando attacchi di omoglifo per ingannare gli utenti e il sistema operativo Windows, facendogli eseguire file malevoli. Si sospetta che l'exploit sia stato usato per colpire organizzazioni governative e non governative in Ucraina, nell'ambito di una campagna di cyber spionaggio legata al conflitto in corso tra Russia e Ucraina.

MotW è una funzionalità di sicurezza implementata da Microsoft in Windows per prevenire l'esecuzione automatica di file scaricati da Internet senza ulteriori controlli attraverso Microsoft Defender SmartScreen. CVE-2025-0411 aggira MotW mediante un doppio archivio creato con 7-Zip, nascondendo così i payload malevoli.

La causa principale di questo problema è che, prima della versione 24.09, 7-Zip non propagava correttamente le protezioni MotW ai contenuti degli archivi doppiamente incapsulati. Questo permette agli attaccanti di creare archivi contenenti script o eseguibili malevoli che non ricevono le protezioni MotW, esponendo gli utenti di Windows agli attacchi.

Gli attacchi che sfruttano questa vulnerabilità come zero-day sono stati rilevati per la prima volta sul campo il 25 settembre 2024, con sequenze di infezione che portano a SmokeLoader, un malware loader usato ripetutamente per colpire l'Ucraina. L'attacco inizia con un'email di phishing contenente un archivio appositamente creato che, a sua volta, utilizza un attacco di omoglifo per far sembrare l'archivio ZIP interno un documento Microsoft Word, innescando così la vulnerabilità.

Le email di phishing, secondo Trend Micro, venivano inviate da indirizzi email associati a enti governativi ucraini e account aziendali, suggerendo una compromissione precedente. Questo approccio conduce all'esecuzione di un file di collegamento Internet (.URL) presente all'interno dell'archivio ZIP, che punta a un server controllato dall'attaccante che ospita un altro file ZIP. Il nuovo ZIP scaricato contiene l'eseguibile SmokeLoader mascherato da documento PDF.

Almeno nove enti governativi ucraini e altre organizzazioni sono stati valutati come colpiti dalla campagna, tra cui il Ministero della Giustizia, il Servizio di Trasporto Pubblico di Kiev, la Compagnia di Fornitura Idrica di Kiev e il Consiglio Comunale.

Data l'attiva sfruttamento di CVE-2025-0411, si raccomanda agli utenti di aggiornare le loro installazioni all'ultima versione, implementare funzioni di filtraggio delle email per bloccare i tentativi di phishing e disabilitare l'esecuzione di file da fonti non attendibili.