Grupos russos de cibercrime exploram falha do 7-Zip para burlar proteções do Windows MotW

Uma vulnerabilidade de segurança identificada como CVE-2025-0411 (pontuação CVSS 7.0) permite que invasores remotos contornem as proteções de mark-of-the-web (MotW) e executem código malicioso no contexto do usuário atual. A falha foi corrigida pela 7-Zip na versão 24.09, lançada em novembro de 2024.

“A vulnerabilidade foi explorada ativamente por grupos cibernéticos russos por meio de campanhas de spear-phishing, usando ataques de homóglifos para falsificar extensões de documentos e enganar usuários e o sistema operacional Windows para executar arquivos maliciosos”, afirmou Peter Girnus, pesquisador de segurança da Trend Micro.

Suspeita-se que o CVE-2025-0411 provavelmente tenha sido utilizado como ferramenta para atingir organizações públicas e privadas na Ucrânia, como parte de uma operação de espionagem digital, com o contexto do atual conflito russo-ucraniano.

MotW é uma funcionalidade de segurança implementada pela Microsoft no Windows para evitar a execução automática de arquivos baixados da internet sem realizar verificações adicionais pelo Microsoft Defender SmartScreen.

O CVE-2025-0411 contorna o MotW compactando duplamente o conteúdo usando o 7-Zip, ou seja, criando um arquivo e, em seguida, um arquivo do arquivo para esconder as cargas maliciosas.

“A causa raiz do CVE-2025-0411 é que, antes da versão 24.09, o 7-Zip não propagava corretamente as proteções MotW para o conteúdo de arquivos encapsulados duplamente”, explicou Girnus. “Isso permite que os agentes de ameaças criem arquivos contendo scripts maliciosos ou executáveis que não receberão proteções MotW, deixando os usuários do Windows suscetíveis a ataques.”

Ataques que exploram a falha como um 0day foram detectados pela primeira vez em 25 de setembro de 2024, com as sequências de infecção conduzindo ao SmokeLoader, um malware carregador que tem sido utilizado repetidamente para atacar a Ucrânia.

O ponto de origem é um e-mail de phishing que contém um arquivo comprimido especialmente criado, que, por sua vez, utiliza um ataque de homóglifo para apresentar o arquivo ZIP interno como um documento do Microsoft Word, ativando efetivamente a vulnerabilidade.

As mensagens de phishing, conforme a Trend Micro, foram enviadas de endereços de e-mail associados a órgãos governamentais ucranianos e contas comerciais para organizações municipais e empresas, sugerindo comprometimento prévio.

“O uso dessas contas de e-mail comprometidas confere um ar de autenticidade aos e-mails enviados aos alvos, manipulando vítimas em potencial para que confiem no conteúdo e em seus remetentes”, destacou Girnus.

Essa abordagem resulta na execução de um arquivo de atalho de internet (.URL) presente no arquivo ZIP, que direciona para um servidor controlado pelo invasor hospedando outro arquivo ZIP. O novo arquivo ZIP contém o executável SmokeLoader disfarçado como um documento PDF.

Pelo menos nove entidades públicas ucranianas e outras organizações foram avaliadas como afetadas pela campanha, incluindo o Ministério da Justiça, o Serviço de Transporte Público de Kiev, a Companhia de Abastecimento de Água de Kiev e o Conselho Municipal.

Em função da exploração ativa do CVE-2025-0411, recomenda-se que os usuários atualizem suas instalações para a versão mais recente, implementem mecanismos de filtragem de e-mail para bloquear tentativas de phishing e desabilitem a execução de arquivos de fontes não confiáveis.

“Um ponto interessante que observamos nas organizações visadas e impactadas nesta campanha são os órgãos governamentais locais menores”, disse Girnus.

“Essas organizações estão frequentemente sob intensa pressão cibernética, mas são frequentemente negligenciadas, menos experientes em segurança digital e não possuem os recursos para uma estratégia cibernética completa que as organizações governamentais maiores têm. Essas organizações menores podem ser pontos de articulação importantes para que os agentes de ameaças se concentrem em organizações governamentais maiores.”