Hacker russi sfruttano bug 0-day in 7-Zip per diffondere SmokeLoader

Hacker russi sfruttano bug 0-day di 7-Zip per diffondere SmokeLoader: come proteggere la tua azienda

Nel mese di febbraio 2025, un team di esperti di sicurezza ha scoperto una nuova vulnerabilità in 7-Zip, un software di compressione file molto utilizzato. Questo bug 0-day, noto come CVE-2025-0411, è stato sfruttato da hacker russi per distribuire il malware SmokeLoader attraverso email di phishing. Un attacco sofisticato che ha messo in pericolo diverse organizzazioni, in particolare quelle ucraine. Ma come può questo attacco influire sulle aziende? E come proteggersi da minacce simili?

Cos’è il bug 0-day di 7-Zip e come viene sfruttato?

Un bug 0-day è una vulnerabilità sconosciuta nel software, che può essere sfruttata dai criminali informatici prima che venga rilasciata una patch di sicurezza. Nel caso di 7-Zip, il bug permette agli hacker di aggirare il Mark-of-the-Web (MoTW), un sistema di protezione di Windows che impedisce l’esecuzione automatica di file potenzialmente dannosi scaricati da Internet. Questo significa che, una volta che un file sospetto viene scaricato, Windows normalmente impedirebbe la sua esecuzione. Tuttavia, sfruttando il bug, i malintenzionati possono inserire il malware all’interno di archivi che sfuggono a questo controllo.

Come avviene l’attacco tramite phishing?

Gli hacker utilizzano un metodo molto comune per distribuire il malware: l’email di phishing. Questo tipo di attacco inganna l’utente facendogli credere che un’email provenga da una fonte legittima. Nel caso di questo attacco, gli hacker hanno inviato email con allegati .zip, i quali contenevano un archivio interno manipolato. Grazie al bug di 7-Zip, i controlli di sicurezza di Windows non riuscivano a rilevare il rischio all’interno dell’archivio.

Una delle tecniche utilizzate dagli attaccanti è stata la manipolazione tipografica, che consiste nell’usare caratteri speciali per camuffare l’archivio interno, facendo credere che si trattasse di un file innocuo come un documento Word (.doc). In realtà, si trattava di un file eseguibile malevolo.

Hacker sfruttano bug 0-day di 7-zip per distribuire malware smokeloader

I cybercriminali hanno sfruttato il bug 0-day di 7-zip per distribuire malware, mettendo a rischio molte organizzazioni.

Cosa succede dopo che l’utente apre il file?

Quando l’utente apriva il file allegato, il malware veniva eseguito tramite un file .URL che puntava a un server controllato dagli hacker. Questo server scaricava un altro file .zip contenente il malware SmokeLoader, mascherato da un innocuo file .pdf. Una volta che l’utente apriva il file .pdf, il malware veniva installato sul dispositivo, consentendo agli hacker di rubare dati sensibili, avviare attacchi DDoS e persino minare criptovalute.

Chi sono le vittime principali di questo attacco?

Gli attacchi miravano principalmente a organizzazioni ucraine, tra cui enti governativi, aziende di trasporti pubblici, compagnie assicurative, e altre realtà più piccole. Questo è un elemento interessante, poiché aziende di dimensioni ridotte sono spesso più vulnerabili a causa della mancanza di risorse dedicate alla sicurezza informatica. Le organizzazioni più piccole sono spesso prese di mira poiché possono diventare punti di accesso per attaccare entità governative più grandi.

Come proteggere la propria azienda?

La buona notizia è che il bug è stato già risolto nella versione 24.09 di 7-Zip, rilasciata il 30 novembre 2024. Tuttavia, il semplice aggiornamento del software non è sufficiente. È fondamentale adottare una serie di misure di sicurezza per proteggere le aziende da minacce simili:

  1. Filtraggio e anti-spam avanzato per bloccare email sospette e phishing.
  2. URL filtering per prevenire l’accesso a siti web malevoli.
  3. Disabilitare l’esecuzione automatica di file provenienti da fonti non sicure.
  4. Richiedere sempre l’autorizzazione esplicita per eseguire applicazioni e script.

Perché il bug di 7-Zip è così pericoloso?

Il bug di 7-Zip è pericoloso perché si trova in un software utilizzato da milioni di aziende in tutto il mondo. Questo significa che una vulnerabilità apparentemente innocua può mettere a rischio migliaia di organizzazioni. Inoltre, gli hacker sono diventati sempre più abili nel manipolare file e software legittimi per diffondere malware. Il phishing, che sfrutta l’inganno psicologico, è una delle tecniche più usate per far cadere le vittime in trappola.

Cosa devono fare le aziende per evitare attacchi simili?

Le aziende devono investire nella formazione dei dipendenti per riconoscere le email di phishing e i file sospetti. Devono inoltre utilizzare software antivirus aggiornati e proteggere i sistemi con firewall. Il monitoraggio costante delle attività sospette sui sistemi aziendali è fondamentale per prevenire attacchi prima che causino danni significativi.

Come agiscono gli hacker e come si proteggono le aziende?

Gli hacker scelgono le loro vittime in base alla vulnerabilità dei sistemi, all’accesso a informazioni sensibili e alle dimensioni dell’organizzazione. Le aziende che non adottano pratiche di sicurezza adeguate sono particolarmente vulnerabili agli attacchi. I malintenzionati cercano sempre nuovi metodi per penetrare i sistemi aziendali, rendendo necessaria una difesa attiva e un’attenzione costante.

Il bug 0-day di 7-Zip e l’attacco che ne è derivato dimostrano quanto sia importante rimanere sempre aggiornati e proteggere i sistemi aziendali dalle minacce in continua evoluzione. Investire in soluzioni di sicurezza adeguate è un passo fondamentale per ridurre il rischio di attacchi dannosi come questo.

Blog

    Richiedi informazioni

    *Confermo di aver preso visione dell'Informativa privacy policy e della cookie policy sul trattamento dei dati.

    logo-pixo-2022-a

    Potenzia la tua azienda con le nostre soluzioni:
    Cyber security e Software Gestionali.