Хакери скористалися вразливістю нульового дня в популярному файловому архіваторі 7-Zip для розгортання шкідливого програмного забезпечення SmokeLoader.
Вразливість, що відстежується як CVE-2025-0411, була виявлена у вересні 2024 року і з того часу активно використовується в кібератаках, спрямованих на українські організації.
CVE-2025-0411 – це вразливість високого рівня серйозності (оцінка CVSS: 7,0), яка дає зловмисникам змогу обійти механізм безпеки Windows Mark-of-the-Web (MoTW).
MoTW – це критично важлива функція, яка позначає файли, завантажені з ненадійних джерел, дозволяючи проводити додаткові перевірки безпеки за допомогою таких інструментів, як Microsoft Defender SmartScreen і Microsoft Office Protected View.
Недолік виникає через те, що більш ранні версії 7-Zip (до версії 24.09) не могли поширити прапор MoTW на файли, витягнуті з вкладених архівів.
Цей недолік дозволяє зловмисникам створювати шкідливі архіви, які обходять захист MoTW, дозволяючи запускати шкідливі сценарії або виконувані файли без запуску попереджень безпеки.
Російські кіберзлочинні угруповання використали вразливість як зброю, ймовірно, в рамках кампаній кібершпигунства на тлі російсько-українського конфлікту, що триває.
Ці групи використовували фішингові електронні листи для розповсюдження шкідливих файлів із подвійним архівом.
«Вразливість активно використовувалася російськими кіберзлочинними групами за допомогою фішингових кампаній, використовуючи атаки з гомогліфами для підробки розширень документів і обману користувачів і операційної системи Windows для виконання шкідливих файлів», — заявили в TrendMicro.

Особливо оманливим методом є атаки з використанням гомогліфів, коли розширення файлів підробляються за допомогою візуально схожих символів (наприклад, заміна латинської «c» на кириличну «c»), щоб обдурити користувачів, змусивши їх повірити в те, що файл є законним.
Наприклад, зловмисники розповсюдили зовнішній архів під назвою «Документи та платежі.7z» , що містить внутрішній архів, підроблений як документ Microsoft Word із розширенням на кшталт «Список.doс».
Після вилучення та виконання цих файлів шкідливе програмне забезпечення SmokeLoader було розгорнуто на системах жертв.
Стратегії пом’якшення наслідків
Щоб захиститися від CVE-2025-0411 та подібних загроз, організаціям слід вжити таких заходів:
- Переконайтеся, що всі системи працюють під керуванням версії 7-Zip 24.09 або новішої, яка усуває цю вразливість.
- Застосовуйте надійні рішення для фільтрації електронної пошти, щоб блокувати спроби цільового фішингу.
- Навчіть співробітників розпізнавати фішингові електронні листи та атаки з використанням гомогліфів.
- Вимкніть автоматичне виконання файлів із ненадійних джерел і примусово надсилайте запити на підтвердження.
- Використовуйте інструменти захисту кінцевих точок, здатні виявляти та блокувати шкідливу файлову активність.
Організації повинні діяти швидко, щоб пом’якшити потенційні загрози, особливо з огляду на складні методи, які використовують зловмисники в цій кампанії.