Grup d'Investigació i Intel·ligència de Seguretat de Talos
Els experts en seguretat dels laboratoris d’intel·ligència de les amenaces integrals de Talos de Cisco emeten una advertència sobre un nou vector d’atac que un malware força antic ha decidit explotar. Smoke Loader, un notori paquet d’aplicacions que va ser un dels primers a utilitzar PROPagate per injectar codi als sistemes, aparentment s’ha dirigit a les màquines Microsoft Windows des de fa diversos mesos.
PROPagate es va descobrir originalment a l’octubre del 2017, de manera que representa una forma bastant nova d’orientar-se a les instal·lacions de Windows. Tanmateix, Smoke Loader existeix des de, com a mínim, des del 2011. La versió actual ha evolucionat considerablement i alguns dels brots recents han estat el resultat de pegats falsos que afirmaven corregir les explotacions de Meltdown i Spectre.
El cracker de fum sol ser utilitzat per un cracker per descarregar programari maliciós. En general, utilitza documents d’Office infestats adjunts al correu electrònic com a mètode per controlar els sistemes.
L'obertura del fitxer adjunt en un sistema insegur pot deixar caure i executar programari maliciós addicional. Alguns dels pitjors casos del juny van incloure el ransomware, però ara sembla que comprometre una CPU per executar codi de criptomina és més comú cap a la segona setmana de juliol.
Els experts de Cisco van trobar correus electrònics titulats 'La vostra factura de subscripció a Sage s'ha de vèncer', cosa que probablement provocaria que la gent els obrís pensant que podrien tenir alguna cosa a veure amb una popular aplicació de comptabilitat empresarial que moltes empreses implementen.
No sembla que els experts en seguretat de Linux tinguin cap informe sobre aquests fitxers adjunts que comprometin les caixes Unix, que inclou aquells que tenen la capa de compatibilitat de l’aplicació Wine executada. Això podria ser degut a que el fitxer adjunt normalment no s’obriria en Word fins i tot en aquestes màquines, tot i que es recomana als usuaris de GNU / Linux que tinguin precaució en obrir fitxers adjunts com aquest.
Sage, així com altres grups de subscripció de programari com a servei, normalment no envien un fitxer Word com a fitxer adjunt de totes maneres, cosa que hauria d’alçar els senyals vermells als que rebin aquests correus electrònics. Els usuaris de macOS tampoc semblen informar fins ara de cap problema ni han utilitzat cap sistema operatiu mòbil basat en Unix.
Com alguns investigadors de seguretat es refereixen a Smoke Loader com a Dofoil, hi ha certa confusió en el moment d’escriure sobre quina part de malware és realment responsable de l’execució de codi arbitrari. Tot i això, sembla que es tracta de termes simplement diferents per referir-se a la mateixa infecció.
Etiquetes Cisco Seguretat de Windows
