Bezpečnostní experti společnosti Cisco popisují nový vektor útoku pro starý malware

Talos Security Intelligence and Research Group

Bezpečnostní experti z laboratoří Talos Comprehensive Threat Intelligence společnosti Cisco vydávají varování před novým vektorem útoku, který se rozhodl zneužít poměrně starý malware. Smoke Loader, notoricky známý aplikační balíček, který mezi prvními používal PROPagate k vkládání kódu do systémů, se již několik měsíců zjevně zaměřuje na počítače Microsoft Windows.

PROPagate byl původně objeven v říjnu 2017, takže představuje zcela nový způsob cílení na instalace systému Windows. Smoke Loader však existuje přinejmenším od roku 2011. Aktuální verze se značně vyvinula a některá nedávná ohniska byla způsobena falešnými opravami, které prohlašovaly, že opravují exploze Meltdown a Spectre.

Samotný Smoke Loader obvykle používá cracker ke stažení malwaru. Obecně používá zamořené dokumenty Office připojené k e-mailu jako způsob získání kontroly nad systémy.

Otevření přílohy v nezabezpečeném systému může spadnout a poté spustit další malware. Některé z nejhorších červnových případů zahrnovaly ransomware, nyní se však zdá, že kompromitování CPU při provádění kryptoměnového kódu je častějším krokem do druhého červencového týdne.

Odborníci společnosti Cisco našli e-maily s názvem „Vaše faktura za předplatné Sage je splatná“, což je více než pravděpodobné, že přiměje lidi, aby je otevřeli v domnění, že by mohli mít něco společného s populární aplikací pro podnikové účetnictví, kterou mnoho společností používá.

Nezdá se, že by odborníci na zabezpečení Linuxu měli nějaké zprávy o těchto přílohách, které by kompromitovaly unixové boxy, včetně těch, na kterých běží vrstva kompatibility aplikací Wine. Může to být proto, že se příloha obvykle neotevře ve Wordu ani na těchto počítačích, i když uživatelům GNU / Linuxu se stále doporučuje, aby při otevírání takových příloh postupovali opatrně.

Sage stejně jako další skupiny předplatného softwaru jako služby obvykle stejně neposílají soubor Word jako přílohu, což by mělo upozornit uživatele, kteří dostávají tyto e-maily. Zdá se, že uživatelé systému macOS dosud nehlásili žádné problémy ani nepoužívají mobilní operační systémy založené na Unixu.

Jelikož někteří bezpečnostní vědci označují Smoke Loader jako Dofoil, v době psaní tohoto článku panuje zmatek ohledně toho, který malware je vlastně odpovědný za provádění libovolného kódu. Zdá se však, že se jedná pouze o odlišné termíny, které odkazují na stejnou infekci.