Cosa è importante sapere:Problema: Un bug 0-day in 7-Zip consente agli hacker di eludere le protezioni di Windows e distribuire il malware SmokeLoader.Agitazione: Le aziende ucraine sono state tra le principali vittime, ma ogni organizzazione è vulnerabile a simili minacce.Soluzione: Aggiorna 7-Zip alla versione 24.09 e adotta misure di sicurezza come filtraggio avanzato delle email e URL filtering
Recentemente, un gruppo di hacker russi ha sfruttato una vulnerabilità di tipo 0-day in 7-Zip, un popolare programma di compressione, per distribuire un malware chiamato SmokeLoader. Questo attacco, che ha colpito organizzazioni ucraine, solleva preoccupazioni in merito alla sicurezza informatica, specialmente per le aziende che potrebbero essere vulnerabili a simili minacce.
Cos’è il bug 0-day di 7-Zip?
Un bug 0-day è una vulnerabilità sconosciuta che i cybercriminali sfruttano prima che i produttori di software possano rilasciare una patch. Nel caso di 7-Zip, il bug tracciato come CVE-2025-0411 consente agli hacker di eludere i controlli di sicurezza di Windows, noti come Mark-of-the-Web (MoTW).
Questi controlli sono progettati per proteggere i file scaricati da Internet, impedendo l’esecuzione automatica di applicazioni potenzialmente dannose. Il bug permette agli hacker di aggirare questa protezione, consentendo loro di eseguire file malevoli all’interno degli archivi compressi.
Come funziona l’attacco?
Gli attaccanti hanno approfittato di questa vulnerabilità per inviare email di phishing a dipendenti di diverse organizzazioni ucraine. Gli allegati contenuti nelle email erano file .zip che, una volta aperti, nascondevano altri archivi compressi al loro interno. Questi archivi secondari, grazie al bug di 7-Zip, non venivano controllati dai meccanismi di sicurezza di Windows.
In particolare, i cybercriminali hanno usato tecniche di manipolazione tipografica per nascondere l’estensione del file e ingannare gli utenti. Per esempio, hanno usato il carattere cirillico “Es” al posto del tradizionale punto per far sembrare il file un documento .doc, quando in realtà si trattava di un eseguibile malevolo.
I cybercriminali hanno sfruttato il bug 0-day di 7-Zip per distribuire malware, mettendo a rischio molte organizzazioni.
Cosa succede dopo l’apertura del file?
Una volta che l’utente apriva il file, un file .URL contenuto nell’archivio veniva eseguito, indirizzando il dispositivo verso un server controllato dagli hacker. Da lì, veniva scaricato un altro file .zip che, al suo interno, conteneva un eseguibile mascherato da file .pdf. Quando l’utente apriva il file, SmokeLoader veniva installato sul dispositivo, consentendo agli attaccanti di accedere ai dati sensibili e di eseguire altre operazioni malevole come il mining di criptovalute o attacchi DDoS.
Le vittime del bug 0-day
Gli attacchi hanno colpito diversi settori, tra cui il governo e le aziende ucraine. Tra le vittime si trovano il Ministero della Giustizia, alcune compagnie di assicurazione, una farmacia e un’azienda di trasporti pubblici. È interessante notare che gli attacchi hanno preso di mira principalmente organizzazioni di piccole dimensioni, che spesso sono meno preparate a difendersi contro minacce informatiche sofisticate.
Le aziende più piccole sono diventate un obiettivo attraente per i cybercriminali, in quanto meno protette rispetto alle grandi istituzioni governative. Inoltre, alcuni degli account compromessi potrebbero essere stati utilizzati per attacchi futuri contro obiettivi di maggiore valore.
Come proteggersi da questo tipo di attacco?
Fortunatamente, il bug è stato risolto nella versione 24.09 di 7-Zip, rilasciata il 30 novembre 2024. Le aziende devono aggiornare prontamente il loro software alla versione più recente per evitare rischi di compromissione.
Oltre all’aggiornamento del software, è essenziale implementare altre misure di sicurezza, come:
- Filtraggio e anti-spam avanzato per bloccare email di phishing.
- URL filtering per impedire l’accesso a siti web malevoli.
- Disabilitare l’esecuzione automatica di file provenienti da fonti non sicure.
- Autorizzazioni esplicite per l’esecuzione di script e applicazioni, impedendo l’esecuzione automatica di software sospetto.
Perché questo attacco è così pericoloso?
L’attacco sfrutta una vulnerabilità presente in un software molto diffuso, come 7-Zip, che viene utilizzato da milioni di aziende in tutto il mondo. La facilità con cui gli hacker riescono a eludere i controlli di sicurezza di Windows e a nascondere il malware in file apparentemente innocui rende questo tipo di minaccia particolarmente insidiosa.
Inoltre, la strategia di phishing utilizzata per diffondere il malware si basa su tecniche psicologiche come l’urgenza e la manipolazione visiva, che aumentano le probabilità che gli utenti cadano nel tranello.
Cosa devono fare le aziende per prevenire attacchi simili?
Le aziende devono essere consapevoli delle minacce legate ai file compressi e ai link sospetti nelle email. È fondamentale sensibilizzare i dipendenti su come riconoscere un’email di phishing e come evitare di aprire allegati provenienti da fonti non verificate.
Inoltre, le aziende devono implementare misure di sicurezza a più livelli per proteggere i propri sistemi e dati da attacchi sempre più sofisticati. Questo include l’utilizzo di antivirus aggiornati, l’attivazione di firewall e il monitoraggio costante delle attività sospette.
Come gli hacker scelgono le loro vittime?
Gli hacker tendono a selezionare le loro vittime in base a fattori come la dimensione dell’organizzazione, la vulnerabilità dei sistemi e l’accesso a informazioni sensibili. Le aziende che non seguono le migliori pratiche di sicurezza informatica sono più esposte a questo tipo di attacchi.
L’attacco sfruttando il bug 0-day di 7-Zip è un esempio chiaro di come i cybercriminali siano sempre più sofisticati nel loro approccio. Le aziende devono essere pronte a reagire a minacce sempre nuove e a proteggere i propri sistemi con tecnologie avanzate e pratiche di sicurezza consolidate.
Post appena pubblicati
