Эксперты Cisco по безопасности описывают новый вектор атак для старых вредоносных программ

Группа разведки и исследований в области безопасности Talos

Эксперты по безопасности из лабораторий комплексной аналитики угроз Talos компании Cisco выпускают предупреждение о новом векторе атаки, который решила использовать довольно старая вредоносная программа. Smoke Loader, печально известный пакет приложений, который одним из первых использовал PROPagate для внедрения кода в системы, очевидно, уже несколько месяцев нацелен на машины Microsoft Windows.

PROPagate был впервые обнаружен в октябре 2017 года, поэтому он представляет собой довольно новый способ нацеливания на установки Windows. Тем не менее, Smoke Loader существует по крайней мере с 2011 года. Текущая версия значительно изменилась, и некоторые из недавних вспышек были в результате поддельных патчей, которые утверждали, что исправляют эксплойты Meltdown и Spectre.

Сам Smoke Loader обычно используется взломщиками для загрузки вредоносных программ. Обычно он использует зараженные документы Office, прикрепленные к электронной почте, как метод получения контроля над системами.

Открытие вложения в незащищенной системе может привести к падению и запуску дополнительных вредоносных программ. Некоторые из худших случаев в июне включали программы-вымогатели, однако теперь выясняется, что компрометация ЦП для выполнения кода криптомайнинга более распространена во второй неделе июля.

Эксперты Cisco обнаружили электронные письма с заголовком «Ваш счет за подписку Sage подлежит оплате», что более чем могло заставить людей открывать их, думая, что они могут иметь какое-то отношение к популярному приложению для ведения бухгалтерского учета, которое используют многие компании.

Не похоже, что у экспертов по безопасности Linux есть какие-либо отчеты об этих вложениях, скомпрометирующих Unix-боксы, включая те, на которых работает уровень совместимости приложений Wine. Это может быть связано с тем, что вложение обычно не открывается в Word даже на этих машинах, хотя пользователям GNU / Linux по-прежнему рекомендуется проявлять осторожность при открытии таких вложений.

Sage, а также другие группы подписки на программное обеспечение как услугу обычно не отправляли бы файл Word в виде вложения, что должно вызывать тревогу у тех, кто получает эти электронные письма. Пользователи macOS, похоже, еще не сообщали о каких-либо проблемах и не использовали какие-либо мобильные операционные системы на основе Unix.

Поскольку некоторые исследователи безопасности называют Smoke Loader Dofoil, на момент написания этой статьи существует некоторая путаница относительно того, какая вредоносная программа фактически отвечает за выполнение произвольного кода. Тем не менее, кажется, что это просто разные термины для обозначения одной и той же инфекции.