Talos biztonsági hírszerző és kutatócsoport
A Cisco Talos Comprehensive Threat Intelligence laboratóriumának biztonsági szakértői figyelmeztetést adnak ki egy új támadási vektorról, amelynek kihasználása mellett egy meglehetősen régi kártevő-program döntött. A Smoke Loader, egy olyan hírhedt alkalmazáscsomag, amely az elsők között használta a PROPagate-et kódok injektálására a rendszerekbe, nyilvánvalóan több hónapja célozza meg a Microsoft Windows gépeit.
A PROPagate-t eredetileg 2017 októberében fedezték fel, így ez egy meglehetősen új módszert jelent a Windows-telepítések célzására. A Smoke Loader azonban legalább 2011 óta létezik. A jelenlegi verzió jelentősen fejlődött, és a közelmúlt néhány kitörése hamis foltok eredményeként jött létre, amelyek azt állították, hogy kijavítják a Meltdown és a Specter kihasználásait.
Magát a Smoke Loadert általában egy cracker használja rosszindulatú programok letöltésére. Általában az e-mailekhez csatolt fertőzött Office-dokumentumokat használja a rendszerek irányításának megszerzésének módszereként.
A melléklet nem biztonságos rendszeren történő megnyitása eldobhatja, majd további rosszindulatú programokat futtathat. A júniusi legrosszabb esetek egyike a ransomware volt, azonban most úgy tűnik, hogy a CPU megsértése a kriptokód végrehajtása érdekében gyakrabban fordul elő július második hetében.
A Cisco szakértői olyan e-maileket találtak, amelyek „A Sage előfizetéses számlájának esedékessége” címet viseli. Ez valószínűleg nem arra késztette az embereket, hogy kinyissák őket, gondolván, hogy közük lehet egy népszerű üzleti könyvelési alkalmazáshoz, amelyet sok vállalat telepít.
Úgy tűnik, hogy a Linux biztonsági szakértőinek nincsenek jelentései arról, hogy ezek a mellékletek veszélyeztetnék a Unix dobozokat, beleértve azokat is, amelyeken a Wine alkalmazás kompatibilitási rétege fut. Ennek oka lehet, hogy a melléklet általában még ezeken a gépeken sem nyílik meg a Wordben, bár a GNU / Linux felhasználókat továbbra is óvatosságra ösztönzik az ilyen mellékletek megnyitásakor.
A Sage, valamint más szoftver-szolgáltatásként előfizetői csoportok általában nem küldenek mellékletként Word-fájlt, aminek piros zászlókat kell emelnie azoknak, akik ezeket az e-maileket kapják. Úgy tűnik, hogy a macOS felhasználói egyelőre nem jelentettek problémát, és nem is használtak Unix-alapú mobil operációs rendszert.
Mivel egyes biztonsági kutatók a Smoke Loader-t Dofoil-ként emlegetik, az írás során némi zűrzavar tapasztalható abban, hogy valójában melyik rosszindulatú program felelős az önkényes kód futtatásáért. Ennek ellenére úgy tűnik, hogy ezek csupán különböző kifejezések ugyanazon fertőzésre utalnak.
Címkék Cisco Windows biztonság
