Eksperci Cisco ds. Bezpieczeństwa opisują nowy wektor ataku na stare złośliwe oprogramowanie

Grupa Talos Security Intelligence and Research Group

Eksperci ds. Bezpieczeństwa z laboratoriów Cisco Talos Comprehensive Threat Intelligence wydają ostrzeżenie o nowym wektorze ataku, który zdecydował się wykorzystać dość stary złośliwy program. Smoke Loader, notoryczny pakiet aplikacji, który jako jeden z pierwszych wykorzystał PROPagate do wstrzykiwania kodu do systemów, najwyraźniej od kilku miesięcy jest skierowany na komputery z systemem Microsoft Windows.

PROPagate został pierwotnie odkryty w październiku 2017 r., Więc stanowi całkiem nowy sposób kierowania na instalacje systemu Windows. Jednak Smoke Loader istnieje od co najmniej 2011 roku. Obecna wersja znacznie się rozwinęła, a niektóre z ostatnich epidemii były wynikiem fałszywych łatek, które miały naprawić exploity Meltdown i Spectre.

Sam Smoke Loader jest zwykle używany przez crackera do pobierania złośliwego oprogramowania. Zwykle używa zainfekowanych dokumentów Office dołączonych do wiadomości e-mail jako metody uzyskiwania kontroli nad systemami.

Otwarcie załącznika w niezabezpieczonym systemie może spowodować upuszczenie, a następnie uruchomienie dodatkowego złośliwego oprogramowania. Niektóre z najgorszych przypadków w czerwcu obejmowały oprogramowanie ransomware, jednak obecnie wydaje się, że kompromitacja procesora w celu wykonania kodu wydobywającego kryptowalutę jest bardziej powszechna i ma miejsce w drugim tygodniu lipca.

Eksperci firmy Cisco znaleźli wiadomości e-mail zatytułowane „Zbliża się termin płatności faktury za subskrypcję Sage”, co z dużym prawdopodobieństwem skłoniło ludzi do ich otwarcia, myśląc, że mogą mieć coś wspólnego z popularną aplikacją księgową wdrażaną przez wiele firm.

Wygląda na to, że eksperci ds. Bezpieczeństwa Linuksa nie mają żadnych doniesień o tych załącznikach zagrażających bezpieczeństwu komputerów z systemem Unix, w tym tych, na których działa warstwa zgodności aplikacji Wine. Może to być spowodowane tym, że załącznik zwykle nie otwiera się w programie Word nawet na tych komputerach, chociaż użytkownicy systemu GNU / Linux nadal są zachęcani do zachowania ostrożności podczas otwierania takich załączników.

Sage, podobnie jak inne grupy subskrypcji oprogramowania jako usługi, i tak zwykle nie wysyłaliby pliku Worda jako załącznika, co powinno wzbudzić czerwone flagi wśród tych, którzy otrzymują te e-maile. Wydaje się, że użytkownicy macOS nie zgłaszali jeszcze żadnych problemów ani nie używali żadnych mobilnych systemów operacyjnych opartych na Uniksie.

Ponieważ niektórzy badacze bezpieczeństwa określają Smoke Loader jako Dofoil, w chwili pisania tego artykułu istnieje pewne zamieszanie co do tego, który złośliwy program jest faktycznie odpowiedzialny za wykonanie dowolnego kodu. Niemniej jednak wydaje się, że są to tylko różne terminy odnoszące się do tej samej infekcji.