Talos Security Intelligence and Research Group
Sikkerhedseksperter fra Ciscos Talos Comprehensive Threat Intelligence-laboratorier udsender en advarsel om en ny angrebsvektor, som et ret gammelt stykke malware har besluttet at udnytte. Smoke Loader, en berygtet applikationspakke, der var blandt de første til at bruge PROPagate til at indsprøjte kode i systemer, har tilsyneladende været målrettet mod Microsoft Windows-maskiner i flere måneder.
PROPagate blev oprindeligt opdaget i oktober 2017, så det repræsenterer en ret ny måde at målrette mod Windows-installationer på. Smoke Loader har dog eksisteret siden i det mindste 2011. Den aktuelle version har udviklet sig betydeligt, og nogle af de nylige udbrud har været som et resultat af falske patches, der hævdede at rette op på Meltdown og Spectre-udnyttelsen.
Smoke Loader selv bruges normalt af en krakker til at downloade malware. Det bruger generelt angrebne Office-dokumenter, der er knyttet til e-mail, som en metode til at få kontrol over systemer.
Åbning af vedhæftet fil på et usikkert system kan falde og derefter udføre yderligere malware. Nogle af de værste tilfælde i juni omfattede ransomware, men det ser nu ud til, at kompromittering af en CPU for at udføre kryptominingskode er mere almindelig i retning af den anden uge i juli.
Ciscos eksperter fandt e-mails med titlen 'Din Sage-abonnementsfaktura er forfalden', hvilket mere end sandsynligt fik folk til at åbne dem og troede, at de måske havde noget at gøre med et populært forretningsregnskabsprogram, som mange virksomheder anvender.
Det ser ikke ud til, at Linux-sikkerhedseksperter har nogen rapporter om disse vedhæftede filer, der kompromitterer Unix-bokse, som inkluderer dem, der har kompatibilitetslaget for Vinapplikation kørt på dem. Dette kan skyldes, at vedhæftningen normalt ikke åbner i Word, selv på disse maskiner, selvom GNU / Linux-brugere stadig opfordres til at udvise forsigtighed, når de åbner vedhæftede filer som denne.
Sage såvel som andre abonnementsgrupper til software-as-a-service sender normalt ikke en Word-fil som en vedhæftet fil alligevel, hvilket skulle hæve røde flag til dem, der modtager disse e-mails. macOS-brugere synes heller ikke at have rapporteret nogen problemer endnu eller har brugt nogen Unix-baserede mobile operativsystemer.
Da nogle sikkerhedsforskere henviser til Smoke Loader som Dofoil, er der på dette tidspunkt en vis forvirring over, hvilket stykke malware der faktisk er ansvarligt for at udføre vilkårlig kode. Ikke desto mindre ser det ud til, at disse kun er forskellige udtryk for at henvise til den samme infektion.
Mærker Cisco Windows-sikkerhed
