Bezpečnostná spravodajská a výskumná skupina Talos
Bezpečnostní experti z laboratórií Cisco Talos Comprehensive Threat Intelligence vydávajú varovanie pred novým vektorom útoku, ktorý sa rozhodol zneužiť pomerne starý malware. Smoke Loader, notoricky známy aplikačný balík, ktorý ako prvý použil program PROPagate na vloženie kódu do systémov, sa už niekoľko mesiacov zjavne zameriava na počítače so systémom Microsoft Windows.
PROPagate bol pôvodne objavený v októbri 2017, takže predstavuje celkom nový spôsob zacielenia na inštalácie systému Windows. Aplikácia Smoke Loader však existuje minimálne od roku 2011. Aktuálna verzia sa značne vyvinula a niektoré z nedávnych ohnísk boli dôsledkom falošných opráv, ktoré tvrdili, že opravujú chyby Meltdown a Spectre.
Samotný program Smoke Loader zvyčajne cracker používa na stiahnutie škodlivého softvéru. Spravidla používa napadnuté dokumenty balíka Office pripojené k e-mailu ako spôsob získania kontroly nad systémami.
Ak otvoríte prílohu v nezabezpečenom systéme, môže dôjsť k jej spadnutiu a následnému spusteniu ďalšieho škodlivého softvéru. Medzi najhoršie júnové prípady patril ransomvér, teraz sa však zdá, že kompromitovanie CPU na vykonanie kryptomínového kódu je bežnejšie v druhom júlovom týždni.
Odborníci spoločnosti Cisco našli e-maily s názvom „Vaša faktúra za predplatné Sage je splatná“, ktorá viac ako pravdepodobne prinútila ľudí, aby si ich otvorili v domnení, že by mohli mať niečo spoločné s populárnou aplikáciou podnikového účtovníctva, ktorú mnoho spoločností nasadzuje.
Nezdá sa, že by odborníci na zabezpečenie Linuxu mali správy o týchto prílohách, ktoré by ohrozili Unix boxy, vrátane tých, na ktorých je spustená vrstva kompatibility aplikácií Wine. Môže to byť preto, že príloha by sa vo Wordu obvykle neotvorila ani na týchto počítačoch, aj keď používateľom GNU / Linux sa stále odporúča, aby pri otváraní príloh postupovali opatrne.
Sage, ako aj ďalšie skupiny predplatného softvéru ako služby zvyčajne rovnako neposielajú súbor Word ako prílohu, čo by malo upozorniť tých, ktorí dostávajú tieto e-maily. Zdá sa, že používatelia systému macOS zatiaľ nehlásia žiadne problémy ani nepoužívajú mobilné operačné systémy založené na systéme Unix.
Pretože niektorí výskumníci v oblasti bezpečnosti označujú Smoke Loader ako Dofoil, v čase písania tohto článku došlo k určitému zmätku v tom, aký malware je vlastne zodpovedný za vykonanie ľubovoľného kódu. Napriek tomu sa zdá, že ide iba o odlišné pojmy, ktoré odkazujú na rovnakú infekciu.
Značky Cisco Zabezpečenie systému Windows
