Ciscos säkerhetsexperter beskriver en ny attackvektor för gammal skadlig kod

Talos Security Intelligence and Research Group

Säkerhetsexperter från Ciscos Talos Comprehensive Threat Intelligence-laboratorier ger en varning om en ny attackvektor som en ganska gammal skadlig kod har beslutat att utnyttja. Smoke Loader, ett ökänt applikationspaket som var bland de första som använde PROPagate för att injicera kod i system, har tydligen riktat sig mot Microsoft Windows-maskiner i flera månader.

PROPagate upptäcktes ursprungligen i oktober 2017, så det representerar ett ganska nytt sätt att rikta in sig på Windows-installationer. Smoke Loader har emellertid funnits sedan åtminstone 2011. Den nuvarande versionen har utvecklats avsevärt, och några av de senaste utbrotten har varit ett resultat av falska fläckar som hävdade att de korrigerade Meltdown och Spectre-exploateringen.

Smoke Loader själv används vanligtvis av en smällare för att ladda ner skadlig kod. Det använder vanligtvis angripna Office-dokument bifogade till e-post som en metod för att få kontroll över systemen.

Att öppna bilagan på ett osäkert system kan släppa och sedan utföra ytterligare skadlig kod. Några av de värsta fallen i juni inkluderade ransomware, men det verkar nu som att kompromissa med en CPU för att utföra kryptominingskod är vanligare på väg in i andra veckan i juli.

Ciscos experter hittade e-postmeddelanden med titeln 'Din Sage-prenumerationsfaktura är förfallen', vilket mer än troligt skulle få människor att öppna dem och trodde att de kanske hade något att göra med en populär affärsredovisningsapplikation som många företag använder.

Det verkar inte som om Linux-säkerhetsexperter har några rapporter om dessa bilagor som komprometterar Unix-rutorna, vilket inkluderar de som har kompatibilitetslagret för Wine-applikationer. Det kan bero på att bilagan vanligtvis inte öppnas i Word även på dessa maskiner, även om GNU / Linux-användare fortfarande uppmuntras att vara försiktiga när de öppnar bilagor som detta.

Sage såväl som andra prenumerationsgrupper för programvara som tjänst skickar vanligtvis inte en Word-fil som en bifogad fil, vilket borde lyfta röda flaggor till dem som får dessa e-postmeddelanden. macOS-användare tycks inte heller rapportera några problem ännu, och inte heller har de använt några Unix-baserade mobila operativsystem.

Eftersom vissa säkerhetsforskare hänvisar till Smoke Loader som Dofoil, råder det viss förvirring vid skrivandet av vilken del av skadlig kod som faktiskt är ansvarig för att utföra godtycklig kod. Ändå verkar det som om det bara är olika termer för att hänvisa till samma infektion.