Talos Security Intelligence and Research Group
Varnostni strokovnjaki iz Cisovih laboratorijev za celovito obveščanje o grožnjah Talos opozarjajo na nov vektor napadov, ki se ga je odločil izkoristiti dokaj star kos zlonamerne programske opreme. Smoke Loader, razvpiti aplikacijski paket, ki je med prvimi uporabil PROPagate za vbrizgavanje kode v sisteme, očitno že nekaj mesecev cilja na računalnike Microsoft Windows.
PROPagate je bil prvotno odkrit oktobra 2017, zato predstavlja precej nov način ciljanja na namestitve sistema Windows. Vendar Smoke Loader obstaja vsaj od leta 2011. Trenutna različica se je precej razvila in nekateri nedavni izbruhi so bili posledica ponarejenih popravkov, ki naj bi popravili izbruhe Meltdown in Spectre.
Smoke Loader sam običajno uporablja kreker za prenos zlonamerne programske opreme. Običajno uporablja okužene Officeove dokumente, priložene e-pošti, kot način pridobivanja nadzora nad sistemi.
Odpiranje priloge v negotovem sistemu lahko pade in zažene dodatno zlonamerno programsko opremo. Nekateri najslabši primeri v juniju so vključevali odkupno programsko opremo, vendar se zdi, da je ogrožanje CPE za izvajanje šifrirne kode bolj pogosto v drugem tednu julija.
Strokovnjaki podjetja Cisco so ugotovili e-poštna sporočila z naslovom 'Vaš račun za naročnino Sage je zapadel', kar je več kot verjetno, da jih bodo ljudje odprli in mislili, da bi lahko imeli kaj opraviti s priljubljeno aplikacijo za poslovno računovodstvo, ki jo uporabljajo številna podjetja.
Zdi se, da strokovnjaki za varnost Linuxa nimajo poročil o teh prilogah, ki ogrožajo polja Unix, vključno s tistimi, na katerih deluje plast združljivosti aplikacij Wine. To se lahko zgodi, ker se priloga običajno v teh računalnikih ne odpre v Wordu, čeprav uporabnike GNU / Linux še vedno spodbujamo k previdnosti pri odpiranju takih prilog.
Sage in druge naročniške skupine za programsko opremo kot storitev običajno kljub temu ne bi poslale datoteke Word kot priloge, ki bi morala tistim, ki prejemajo ta e-poštna sporočila, dvigniti rdeče zastavice. Zdi se, da uporabniki macOS zaenkrat še niso poročali o nobenih težavah niti niso uporabljali mobilnih operacijskih sistemov, ki temeljijo na Unixu.
Ker nekateri raziskovalci varnosti omenjajo Smoke Loader kot Dofoil, je v času pisanja tega članka nekaj zmede glede tega, kateri del zlonamerne programske opreme je dejansko odgovoren za izvajanje poljubne kode. Kljub temu se zdi, da gre zgolj za različne izraze, ki se nanašajo na isto okužbo.
Oznake Cisco Varnost sistema Windows
