Kumpulan Perisikan dan Penyelidikan Keselamatan Talos
Pakar keselamatan dari makmal Cisco Talos Comprehensive Threat Intelligence mengeluarkan amaran mengenai vektor serangan baru yang telah dimanfaatkan oleh perisian hasad yang agak lama. Smoke Loader, pakej aplikasi terkenal yang merupakan yang pertama menggunakan PROPagate untuk menyuntik kod ke dalam sistem, nampaknya telah mensasarkan mesin Microsoft Windows selama beberapa bulan.
PROPagate pada mulanya ditemui pada bulan Oktober 2017, jadi ini mewakili cara yang cukup baru untuk menyasarkan pemasangan Windows. Walau bagaimanapun, Smoke Loader telah ada sejak sekurang-kurangnya 2011. Versi semasa telah berkembang dengan pesat, dan beberapa wabak baru-baru ini disebabkan oleh tambalan palsu yang mengaku membetulkan eksploitasi Meltdown dan Spectre.
Smoke Loader sendiri biasanya digunakan oleh cracker untuk memuat turun perisian hasad. Ia biasanya menggunakan dokumen Office yang dilampirkan pada e-mel sebagai kaedah untuk mendapatkan kawalan sistem.
Membuka lampiran pada sistem yang tidak selamat dapat menjatuhkan dan kemudian melaksanakan malware tambahan. Beberapa kes terburuk pada bulan Juni termasuk ransomware, namun sekarang nampaknya mengorbankan CPU untuk melaksanakan kod cryptomining adalah lebih biasa menuju minggu kedua bulan Julai.
Pakar Cisco menemui e-mel bertajuk 'Faktur langganan Sage Anda sudah jatuh tempo', yang lebih cenderung membuat orang membukanya dengan berfikir bahawa mereka mungkin ada kaitan dengan aplikasi perakaunan perniagaan yang popular yang digunakan banyak syarikat.
Nampaknya pakar keselamatan Linux tidak mempunyai laporan mengenai lampiran ini yang menjejaskan kotak Unix, yang merangkumi yang mempunyai lapisan keserasian aplikasi Wine yang berjalan di atasnya. Ini mungkin kerana lampiran biasanya tidak akan dibuka di Word walaupun pada mesin ini, walaupun pengguna GNU / Linux masih digalakkan untuk berhati-hati ketika membuka lampiran seperti ini.
Sage serta kumpulan langganan perisian-sebagai-perkhidmatan-perkhidmatan lain biasanya tidak akan menghantar fail Word sebagai lampiran, yang semestinya akan menaikkan bendera merah kepada mereka yang menerima e-mel ini. Pengguna macOS juga sepertinya belum pernah melaporkan masalah, atau tidak menggunakan sistem operasi mudah alih berasaskan Unix.
Oleh kerana sebilangan penyelidik keselamatan merujuk kepada Smoke Loader sebagai Dofoil, terdapat beberapa kekeliruan pada masa penulisan ini mengenai sekeping malware yang sebenarnya bertanggungjawab untuk melaksanakan kod sewenang-wenangnya. Walaupun begitu, nampaknya ini hanyalah istilah yang berbeza untuk merujuk kepada jangkitan yang sama.
Teg Cisco Keselamatan Windows
