Nhóm nghiên cứu và tình báo an ninh Talos
Các chuyên gia bảo mật từ phòng thí nghiệm Thông minh về Đe dọa Toàn diện của Cisco đang đưa ra cảnh báo về một vectơ tấn công mới mà một phần mềm độc hại khá cũ đã quyết định khai thác. Smoke Loader, một gói ứng dụng khét tiếng nằm trong số những ứng dụng đầu tiên sử dụng PROPagate để đưa mã vào hệ thống, rõ ràng đã nhắm mục tiêu đến các máy Microsoft Windows trong vài tháng.
PROPagate ban đầu được phát hiện vào tháng 10 năm 2017, vì vậy nó đại diện cho một cách khá mới để nhắm mục tiêu cài đặt Windows. Tuy nhiên, Smoke Loader đã xuất hiện ít nhất là từ năm 2011. Phiên bản hiện tại đã phát triển đáng kể và một số đợt bùng phát gần đây là kết quả của các bản vá giả mạo đã tuyên bố sửa lỗi khai thác Meltdown và Spectre.
Bản thân Smoke Loader thường được cracker sử dụng để tải xuống phần mềm độc hại. Nó thường sử dụng các tài liệu Office bị lây nhiễm được đính kèm với email như một phương pháp giành quyền kiểm soát hệ thống.
Việc mở tệp đính kèm trên một hệ thống không an toàn có thể làm rơi và sau đó thực thi phần mềm độc hại bổ sung. Một số trường hợp tồi tệ nhất trong tháng 6 bao gồm ransomware, tuy nhiên hiện nay có vẻ như việc xâm nhập CPU để thực thi mã đào tiền mã hóa phổ biến hơn vào tuần thứ hai của tháng 7.
Các chuyên gia của Cisco đã tìm thấy các email có tiêu đề “Hóa đơn đăng ký Sage của bạn đến hạn”, điều này có nhiều khả năng khiến mọi người mở chúng ra và nghĩ rằng họ có thể liên quan đến một ứng dụng kế toán kinh doanh phổ biến mà nhiều công ty triển khai.
Có vẻ như các chuyên gia bảo mật Linux không có bất kỳ báo cáo nào về việc các tệp đính kèm này làm ảnh hưởng đến các hộp Unix, bao gồm những tệp có lớp tương thích ứng dụng Wine đang chạy trên chúng. Điều này có thể là do tệp đính kèm thường không mở trong Word ngay cả trên những máy này, mặc dù vậy người dùng GNU / Linux vẫn được khuyến khích thận trọng khi mở các tệp đính kèm như thế này.
Sage cũng như các nhóm đăng ký phần mềm như một dịch vụ khác thường sẽ không gửi tệp Word dưới dạng tệp đính kèm, điều này sẽ khiến những người nhận được những email này bị báo động đỏ. Người dùng macOS dường như chưa báo cáo bất kỳ sự cố nào, cũng như chưa sử dụng bất kỳ hệ điều hành di động dựa trên Unix nào.
Khi một số nhà nghiên cứu bảo mật gọi Smoke Loader là Dofoil, có một số nhầm lẫn tại thời điểm viết bài này về phần mềm độc hại nào thực sự chịu trách nhiệm thực thi mã tùy ý. Tuy nhiên, có vẻ như đây chỉ là những thuật ngữ khác nhau để chỉ cùng một bệnh nhiễm trùng.
Thẻ Cisco Bảo mật Windows
