Taloksen tietoturvatiedustelu- ja tutkimusryhmä
Ciscon Talos Comprehensive Threat Intelligence -laboratorioiden tietoturva-asiantuntijat lähettävät varoituksen uudesta hyökkäysvektorista, jota melko vanha haittaohjelma on päättänyt hyödyntää. Smoke Loader, pahamaineinen sovelluspaketti, joka käytti ensimmäisten joukossa PROPagate-sovellusta koodin syöttämiseen järjestelmiin, on ilmeisesti kohdentanut Microsoft Windows -laitteita useita kuukausia.
PROPagate löydettiin alun perin lokakuussa 2017, joten se on melko uusi tapa kohdistaa Windows-asennuksiin. Smoke Loader on kuitenkin ollut käytössä ainakin vuodesta 2011. Nykyinen versio on kehittynyt huomattavasti, ja jotkut viimeaikaisista taudinpurkauksista ovat johtuneet väärennetyistä korjaustiedostoista, jotka väittivät korjaavan Meltdown- ja Spectre-hyväksikäytöt.
Smack Loader itse käyttää keksejä haittaohjelmien lataamiseen. Se käyttää yleensä sähköpostiin liitettyjä saastuneita Office-asiakirjoja menetelmänä järjestelmien hallintaan.
Liitteen avaaminen epävarmassa järjestelmässä voi pudottaa ja suorittaa sitten muita haittaohjelmia. Jotkut pahimmista tapauksista kesäkuussa sisälsivät lunnasohjelmat, mutta nyt näyttää siltä, että suorittimen vaarantaminen salauksenkoodin suorittamiseksi on yleisempää otsikkoa heinäkuun toiselle viikolle.
Ciscon asiantuntijat löysivät sähköposteja nimeltä 'Sinun Sage -tilauslaskusi erääntyy', mikä sai enemmän kuin todennäköistä, että ihmiset saivat heidät avaamaan heitä ajattelemalla, että heillä voi olla jotain tekemistä suosittujen yritysten kirjanpitosovellusten kanssa, joita monet yritykset käyttävät.
Näyttää siltä, että Linux-tietoturva-asiantuntijoilla ei ole raportteja näistä liitteistä, jotka vaarantaisivat Unix-laatikot, mukaan lukien ne, joissa on Wine-sovellusten yhteensopivuuskerros. Tämä voi johtua siitä, että liitetiedosto ei yleensä avaudu Wordissa edes näillä koneilla, vaikka GNU / Linux-käyttäjiä kannustetaan edelleen olemaan varovainen avatessaan tällaisia liitteitä.
Sage sekä muut ohjelmistopalveluna-tilausryhmät eivät yleensä lähettäisi Word-tiedostoa liitteenä joka tapauksessa, minkä pitäisi nostaa punaiset liput niille, jotka saavat nämä sähköpostit. MacOS-käyttäjien ei myöskään näytä raportoivan vielä ongelmista, eivätkä ne ole käyttäneet Unix-pohjaisia mobiilikäyttöjärjestelmiä.
Koska jotkut tietoturvatutkijat viittaavat Smoke Loaderiin Dofoil, kirjoitushetkellä on jonkin verran sekaannusta siitä, mikä haittaohjelma on itse vastuussa mielivaltaisen koodin suorittamisesta. Näyttää kuitenkin siltä, että nämä ovat vain erilaisia termejä viittaamaan samaan infektioon.
Tunnisteet Cisco Windowsin suojaus