Stručnjaci za sigurnost tvrtke Cisco opisuju novi vektor napada za stari zlonamjerni softver

Talos Security Intelligence and Research Group

Sigurnosni stručnjaci iz Ciscovih laboratorija za sveobuhvatnu prijetnju Talos izdaju upozorenje o novom vektoru napada koji je prilično stari zlonamjerni softver odlučio iskoristiti. Smoke Loader, zloglasni aplikacijski paket koji je među prvima koristio PROPagate za ubrizgavanje koda u sustave, očito već nekoliko mjeseci cilja strojeve s Microsoft Windowsom.

PROPagate je izvorno otkriven u listopadu 2017. godine, tako da predstavlja prilično nov način ciljanja Windows instalacija. Međutim, Smoke Loader postoji otprilike od 2011. Trenutna verzija znatno se razvila, a neki od nedavnih izbijanja posljedica su lažnih zakrpa za koje se tvrdi da ispravljaju otapanje i Spectre.

Puhač sam obično koristi pukač za preuzimanje zlonamjernog softvera. Obično koristi zaražene Officeove dokumente priložene uz e-poštu kao metodu stjecanja kontrole nad sustavima.

Otvaranje privitka na nesigurnom sustavu može pasti i izvršiti dodatni zlonamjerni softver. Neki od najgorih slučajeva u lipnju uključivali su ransomware, no čini se da je kompromitiranje CPU-a radi izvršavanja šifriranog koda češći zalazak u drugi tjedan srpnja.

Ciscovi stručnjaci pronašli su e-poštu s naslovom 'Vaša faktura pretplate na Sage', što je više nego vjerojatno da će ih ljudi otvoriti misleći da bi mogli imati neke veze s popularnom aplikacijom za računovodstvo koje mnoge tvrtke postavljaju.

Čini se da Linuxovi sigurnosni stručnjaci nemaju izvješća o tim prilozima koji ugrožavaju Unixove kutije, što uključuje i one na kojima je pokrenut sloj kompatibilnosti Wine aplikacija. To bi moglo biti zato što se privitak obično ne bi otvorio u programu Word čak ni na tim strojevima, iako se korisnici GNU / Linuxa i dalje potiču na oprez pri otvaranju ovakvih privitaka.

Sage, kao i ostale pretplatne grupe na softver kao uslugu, ionako ionako ne bi poslali Wordovu datoteku kao privitak, što bi trebalo podići crvene zastavice onima koji primaju ove e-poruke. Korisnici macOS-a također do sada još nisu prijavili nikakve probleme, niti ih imaju koji koriste bilo koji mobilni operativni sustav zasnovan na Unixu.

Kako neki istraživači sigurnosti Smoke Loader nazivaju Dofoil, u vrijeme pisanja ovog članka postoji neka zabuna oko toga koji je zlonamjerni softver zapravo odgovoran za izvršavanje proizvoljnog koda. Ipak, čini se da su to samo različiti izrazi koji se odnose na istu infekciju.