Svi koristimo 7-Zip, zar ne? Taj zgodan, besplatni alat koji nam pomaže da otpakujemo fajlove kada nam stignu u kompresovanom formatu. Ali da li ste znali da baš ovaj alat može biti ključ kojim hakeri otključavaju vrata vašeg računara?

Šta se zapravo dešava?

7-Zip, iako jedan od najpopularnijih alata za kompresiju i dekompresiju, nažalost nije imun na sajber napade. Tokom godina smo videli različite ranjivosti, ali nova pretnja - CVE-2025-0411 - donosi potpuno novi problem.

Ova nova ranjivost omogućava "Mark-of-the-Web bypass". Šta to zapravo znači:

• Windows normalno stavlja posebnu oznaku na fajlove koje ste preuzeli sa interneta
• Ta oznaka vas upozorava kada pokušate da otvorite potencijalno opasan fajl
• Nova ranjivost u 7-Zip-u (verzije pre 24.09) omogućava napadačima da zaobiđu ovo upozorenje
• Rezultat? Zlonamerni fajlovi se mogu izvršiti na vašem računaru bez ikakvog upozorenja!

Ne samo Ukrajina - napadi su stigli i u Srbiju!

Dok su ranije slične kampanje bile fokusirane na Ukrajinu, sada su napadi primećeni i u našoj zemlji. Kako to izgleda u praksi?

• Hakeri ciljaju specifične zaposlene u kompanijama
• Šalju email poruke koje izgledaju kao da dolaze od renomiranih firmi
• U porukama se nalaze zlonamerni .zip fajlovi ili linkovi za njihovo preuzimanje
• Nakon što žrtva ekstraktuje fajlove pomoću 7-Zip-a, pokreće se skrivena .js skripta
• Ova skripta aktivira niz zlonamernih komandi koje preuzimaju dodatne maliciozne programe

Ono što je posebno zabrinjavajuće je da su napadači razvili tehnike koje zaobilaze čak i moderne sisteme za detekciju pretnji, što znači da vaš EDR možda neće prepoznati ovu pretnju, pa je potrebno da aktivno pratite dešavanja u EDR-u!

Kako se napad odvija?

Napadači koriste kombinaciju tehničkih propusta i socijalnog inženjeringa:

1. Spear-phishing - Šalju pažljivo kreirane email poruke koje izgledaju legitimno
2. Drive-by download - Navode vas da preuzmete i otpakujete fajlove sa zaraženih sajtova
3. Višestepeni napad - Nakon početne infekcije, pokreće se niz skripti koje omogućavaju dalje širenje virusa, krađu podataka ili čak ransomware (ucenjivački softver)

Kako da se zaštitite?

Dobra vest je da postoje konkretni koraci koje možete preduzeti da zaštitite sebe i svoju organizaciju:

• Ažurirajte 7-Zip odmah! - Proverite da li koristite verziju 24.09 ili noviju
• Budite oprezni sa email prilozima - Čak i ako poruka izgleda kao da dolazi od poznate firme, dvaput razmislite pre otvaranja priloga
• Edukujte svoj tim - Podelite ove informacije sa kolegama i uspostavite protokole za rukovanje nepoznatim fajlovima
• Pojačajte monitoring sistema - Redovno pratite aktivnosti na mreži i sistemima kako biste brzo uočili potencijalne pretnje
• Blokirajte sumnjive domene - Posebno obratite pažnju na domene kao što su duckdns.org i Telegram koji se često koriste za C2 komunikaciju

Nema panike, ali budite na oprezu!

Propusti u softveru nisu ništa novo, ali kombinacija tehničkih ranjivosti i socijalnog inženjeringa predstavlja posebno opasnu pretnju. Najvažnije je da ostanete informisani, budete oprezni i redovno ažurirate svoj softver.

Jer na kraju krajeva, najbolja odbrana je proaktivan pristup bezbednosti. Zato ažurirajte svoj 7-Zip već danas i podelite ove informacije sa onima koji bi mogli biti na meti napada!