Lỗ hổng được định danh là CVE-2025-0411 (điểm CVSS 7,0), cho phép kẻ tấn công từ xa vượt qua các biện pháp bảo vệ mark-of-the-web (MotW) và thực thi mã tùy ý. Lỗ hổng đã được 7-Zip giải quyết vào tháng 11/2024 trong phiên bản 24.09.
“Các nhóm tội phạm mạng của Nga đã tích cực khai thác lỗ hổng này thông qua các chiến dịch lừa đảo trực tuyến, sử dụng các cuộc tấn công homoglyph để giả mạo phần mở rộng tài liệu và lừa người dùng cũng như Hệ điều hành Windows thực thi các tệp độc hại” - nhà nghiên cứu bảo mật Peter Girnus của Trend Micro cho biết.
Người ta nghi ngờ rằng lỗ hổng CVE-2025-0411 có khả năng đã được sử dụng để nhắm vào các tổ chức chính phủ và phi chính phủ ở Ukraine như một phần của chiến dịch gián điệp mạng trong bối cảnh xung đột Nga - Ukraine đang diễn ra.
MotW là một tính năng bảo mật do Microsoft triển khai trong Windows để ngăn chặn việc tự động thực thi các tệp được tải xuống từ Internet mà không thực hiện thêm các kiểm tra thông qua Microsoft Defender SmartScreen. Lỗ hổng CVE-2025-0411 bỏ qua MotW bằng cách lưu trữ kép nội dung bằng 7-Zip, tức là tạo một kho lưu trữ và sau đó là một kho lưu trữ của kho lưu trữ để che giấu các payload độc hại.
Các cuộc tấn công lợi dụng lỗ hổng này được phát hiện lần đầu tiên trong thực tế vào ngày 25/9/2024, với các chuỗi lây nhiễm dẫn đến SmokeLoader - một phần mềm độc hại đã được sử dụng nhiều lần để nhắm mục tiêu vào Ukraine. Cách tiếp cận này dẫn đến việc thực thi tệp lối tắt Internet (.URL) có trong tệp ZIP, tệp này trỏ đến máy chủ do kẻ tấn công kiểm soát đang lưu trữ một tệp ZIP khác. Tệp ZIP tải xuống sau đó có chứa tệp thực thi SmokeLoader được ngụy trang dưới dạng tài liệu PDF.
Ít nhất 9 cơ quan chính phủ Ukraine và các tổ chức khác bị ảnh hưởng bởi chiến dịch, bao gồm: Bộ Tư pháp, Dịch vụ Giao thông Công cộng Kyiv, Công ty Cung cấp Nước Kyiv và Hội đồng Thành phố.
Trước tình hình khai thác lỗ hổng CVE-2025-0411 đang diễn ra, người dùng được khuyến cáo nên cập nhật cài đặt lên phiên bản mới nhất, triển khai các tính năng lọc email để chặn các nỗ lực lừa đảo và vô hiệu hóa việc thực thi tệp từ các nguồn không đáng tin cậy.
Hà Phương
09:00 | 23/01/2025
08:00 | 19/02/2025
16:00 | 28/01/2025
16:00 | 22/01/2025
15:00 | 14/03/2025
Theo công ty bảo mật Cyfirma (Singapore), chỉ trong vòng một tuần, lượt tải của ứng dụng độc hại thuộc nhóm SpyLoan dưới vỏ bọc mang tên "Finance Simplified" đã tăng chóng mặt từ 50.000 đến 100.000 lượt. Người dùng khi cài ứng dụng này có thể bị thu thập dữ liệu, áp đặt khoản vay bóc lột và tống tiền chiếm đoạt tài sản.
14:00 | 10/03/2025
Microsoft cáo buộc nhóm tin tặc đã tạo ra các công cụ độc hại để tạo ra video Deepfake của người nổi tiếng và nhiều nội dung bất hợp pháp khác. Danh tính các cá nhân có liên quan bao gồm Arian Yadegarnia từ Iran (biệt danh Fiz), Alan Krysiak từ Vương quốc Anh (biệt danh Drago), Ricky Yuen từ Hồng Kông (biệt danh cg-dot) và Phát Phùng Tấn từ Việt Nam (biệt danh Asakuri).
09:00 | 23/01/2025
Mới đây, các chuyên gia an ninh mạng đã phát đi cảnh báo liên quan đến chiến dịch lừa đảo trên nền tảng nhắn tin, gọi điện miễn phí và được mã hóa 2 chiều Signal.
10:00 | 26/11/2024
Các tài liệu được công bố trong cuộc chiến pháp lý đang diễn ra giữa WhatsApp của Meta và NSO Group đã tiết lộ rằng, nhà cung cấp phần mềm gián điệp của Israel đã sử dụng nhiều lỗ hổng nhắm vào ứng dụng nhắn tin để phân phối phần mềm gián điệp Pegasus.
22:00 | 30/01/2025|Giải pháp khác
08:00 | 29/01/2025|Công nghệ thông tin
Cục Điều tra Liên bang Mỹ (FBI) vừa phát đi cảnh báo về sự gia tăng của mã độc tống tiền (ransomware) từ nhóm Medusa, đe dọa người dùng Gmail, Outlook và VPN.
14:00 | 24/03/2025
