Talos Security Intelligence and Research Group
Експертите по сигурността от лабораториите на Talos за цялостно разузнаване на заплахите на Cisco издават предупреждение за нов вектор на атака, който доста стара злонамерена програма е решила да използва. Smoke Loader, известен пакет от приложения, който беше сред първите, които използваха PROPagate за инжектиране на код в системи, очевидно е насочен към машини на Microsoft Windows от няколко месеца.
PROPagate първоначално е открит през октомври 2017 г., така че представлява доста нов начин за насочване на инсталации на Windows. Smoke Loader обаче съществува от най-малко 2011 г. Текущата версия се е развила значително и някои от последните огнища са в резултат на фалшиви кръпки, за които се твърди, че коригират експлоатите на Meltdown и Spectre.
Самият Smoke Loader обикновено се използва от крекер за изтегляне на зловреден софтуер. Обикновено използва заразени документи на Office, прикачени към имейл, като метод за получаване на контрол над системите.
Отварянето на прикачения файл в несигурна система може да отпадне и след това да изпълни допълнителен злонамерен софтуер. Някои от най-лошите случаи през юни включват рансъмуер, но сега изглежда, че компрометирането на процесора за изпълнение на криптомайнинг код е по-често срещано за втората седмица на юли.
Експертите на Cisco откриха имейли, озаглавени „Вашата фактура за абонамент за Sage е дължима“, което е повече от вероятно да накара хората да ги отворят, мислейки, че може да имат нещо общо с популярното приложение за бизнес счетоводство, което много компании разполагат.
Не изглежда, че експертите по сигурността на Linux имат доклади за тези прикачени файлове, които компрометират Unix кутиите, включително тези, на които е изпълнен слоят за съвместимост на приложението Wine. Това може да се дължи на факта, че прикаченият файл обикновено не се отваря в Word дори на тези машини, въпреки че потребителите на GNU / Linux все още се насърчават да внимават при отваряне на прикачени файлове като този.
Sage, както и други групи за абонамент за софтуер като услуга, така или иначе обикновено не изпращат Word файл като прикачен файл, което трябва да издигне червени знамена на тези, които получават тези имейли. Потребителите на macOS също все още не са съобщавали за проблеми, нито са използвали мобилни операционни системи, базирани на Unix.
Тъй като някои изследователи по сигурността наричат Smoke Loader Dofoil, има известно объркване по време на настоящото писане относно това, коя част от зловреден софтуер всъщност е отговорна за изпълнението на произволен код. Въпреки това изглежда, че това са просто различни термини, които се отнасят до една и съща инфекция.
Етикети Cisco Сигурност на Windows
