Cisco drošības eksperti apraksta jaunu uzbrukuma vektoru vecām ļaunprātīgām programmatūrām

Talos drošības izlūkošanas un izpētes grupa

Drošības eksperti no Cisco Talos Comprehensive Threat Intelligence laboratorijām izdod brīdinājumu par jaunu uzbrukuma vektoru, kuru nolēmis izmantot diezgan vecs ļaunprātīgas programmatūras gabals. Smoke Loader, bēdīgi slavena lietojumprogrammu pakete, kas bija viena no pirmajām, kas PROPagate izmantoja koda ievadīšanai sistēmās, acīmredzot vairākus mēnešus mērķēja uz Microsoft Windows mašīnām.

Sākotnēji PROPagate tika atklāts 2017. gada oktobrī, tāpēc tas ir diezgan jauns veids, kā mērķēt uz Windows instalācijām. Tomēr dūmu iekrāvējs darbojas kopš vismaz 2011. gada. Pašreizējā versija ir ievērojami attīstījusies, un daži no nesenajiem uzliesmojumiem ir bijuši viltotu ielāpu rezultātā, kas apgalvoja, ka tiek izlaboti Meltdown un Spectre izmantojumi.

Pašu dūmu iekrāvēju krekings parasti izmanto, lai lejupielādētu ļaunprātīgu programmatūru. Parasti tā izmanto inficētos Office dokumentus, kas pievienoti e-pastam, kā metodi, kā iegūt kontroli pār sistēmām.

Atverot pielikumu nedrošā sistēmā, var nomest un pēc tam izpildīt papildu ļaunprātīgu programmatūru. Daži no sliktākajiem gadījumiem jūnijā ietvēra ransomware, taču tagad šķiet, ka centrālā procesora pārkāpšana kriptogrāfijas koda izpildei ir biežāk sastopama jūlija otrajā nedēļā.

Cisco eksperti atrada e-pastus ar nosaukumu “Jūsu Sage abonēšanas rēķins ir jāmaksā”, kas vairāk nekā iespējams, lika cilvēkiem tos atvērt, domājot, ka viņiem varētu būt kāds sakars ar populāru biznesa grāmatvedības lietojumprogrammu, ko daudzi uzņēmumi izmanto.

Šķiet, ka Linux drošības ekspertiem nav ziņojumu par šiem pielikumiem, kas apdraud Unix lodziņus, tostarp tos, kuros darbojas Wine lietojumprogrammu saderības slānis. Tas varētu būt tāpēc, ka pielikums parasti netika atvērts Word pat šajās mašīnās, lai gan GNU / Linux lietotāji joprojām tiek aicināti rīkoties piesardzīgi, atverot šādus pielikumus.

Sage, kā arī citas programmatūras kā pakalpojuma abonēšanas grupas parasti nesūtīs Word failu kā pielikumu, un tiem, kas saņem šos e-pasta ziņojumus, būtu jāpaceļ sarkanie karodziņi. Šķiet, ka macOS lietotāji vēl nav ziņojuši par kādām problēmām, kā arī nav lietojuši mobilās operētājsistēmas, kuru pamatā ir Unix.

Tā kā daži drošības pētnieki Dūmu iekrāvēju dēvē par Dofoil, šī raksta sagatavošanas laikā pastāv neliela neskaidrība par to, kāda ļaunprogrammatūra faktiski ir atbildīga par patvaļīga koda izpildi. Tomēr šķiet, ka tie ir tikai atšķirīgi termini, kas attiecas uz vienu un to pašu infekciju.