Hackers russos exploram o 7-Zip Zero-Day para atingir a Ucrânia

Atores de ameaças russos foram pegos explorando uma vulnerabilidade de dia zero no 7-Zip, usando-a para se infiltrar em entidades governamentais ucranianas. A falha, rastreada como CVE-2025-0411, permitiu que invasores contornassem a proteção Mark-of-the-Web (MoTW) do Windows, ajudando-os a entregar payloads maliciosos sem serem detectados.

O 7-Zip Zero-Day e sua exploração

A vulnerabilidade, que recebeu uma pontuação CVSS de 7,0, foi descoberta pela primeira vez em setembro de 2024 e permaneceu sem patch até novembro de 2024, quando a versão 24.09 do 7-Zip foi lançada. Ela surgiu de uma falha na maneira como o 7-Zip lidava com a propagação do MoTW.

O MoTW é um mecanismo de segurança do Windows projetado para alertar os usuários sobre arquivos baixados de fontes não confiáveis. No entanto, o 7-Zip falhou em estender as proteções do MoTW para arquivos extraídos de um arquivo, permitindo que os invasores empacotassem malware em arquivos com duplo arquivamento. Se uma vítima extraísse e abrisse esses arquivos, a carga maliciosa poderia ser executada sem disparar nenhum aviso de segurança.

Campanha SmokeLoader tem como alvo entidades ucranianas

Pesquisadores de segurança da Trend Micro confirmaram que cibercriminosos alinhados à Rússia exploraram o CVE-2025-0411 em uma campanha que implantou o SmokeLoader, um conhecido carregador de malware usado para ciberespionagem.

Os invasores enviaram anexos de e-mail com armadilhas contendo arquivos maliciosos para agências e empresas do governo ucraniano. Esses e-mails se originaram de contas ucranianas previamente comprometidas, incluindo aquelas do Serviço Executivo Estatal da Ucrânia (SES), uma filial do Ministério da Justiça da Ucrânia.

Para tornar o ataque mais enganoso, os hackers usaram um ataque de homoglifos — uma técnica que substitui certos caracteres por alternativas visualmente semelhantes. Neste caso, a letra cirílica "Es" foi substituída para fazer o arquivo interno aparecer como um documento do Word (.doc). Isso enganou os destinatários a abrir o arquivo, executando o exploit sem saber.

Quem foi o alvo?

A investigação da Trend Micro identificou diversas organizações ucranianas alvos deste ataque, incluindo:

• SES (Serviço Executivo Estatal da Ucrânia)
• PrJSC ZAZ (fábrica de automóveis Zaporizhzhia)
• Kyivpastrans (serviço de transporte público de Kiev)
• Kyivvodokanal (serviço de abastecimento de água de Kiev)
• SEA (fabricante de eletrônicos)
• Administração estadual do distrito de Verkhovyna
• VUSA (companhia de seguros)
• Farmácia regional de Dnipro
• Conselho municipal de Zalishchyky

Os pesquisadores acreditam que esta lista não é exaustiva e que muitas outras organizações podem ter sido alvos. Os invasores se concentraram em órgãos governamentais menores, que geralmente têm defesas de segurança cibernética mais fracas. Essas entidades comprometidas poderiam então ser usadas como trampolins para se infiltrar em redes governamentais maiores.

Medidas defensivas e patches

Organizações que usam o 7-Zip devem atualizar imediatamente para a versão 24.09 para corrigir o CVE-2025-0411. Além disso, os usuários devem permanecer cautelosos ao abrir arquivos arquivados de e-mails, especialmente aqueles de fontes desconhecidas ou inesperadas.

A Ucrânia continua sendo um alvo principal para ataques cibernéticos russos, e explorar vulnerabilidades de software continua sendo uma tática-chave na guerra cibernética. À medida que os invasores continuam a refinar suas técnicas, a vigilância e a rápida correção são essenciais para mitigar ameaças futuras.