Talos Security Intelligence and Research Group
ผู้เชี่ยวชาญด้านความปลอดภัยจากห้องปฏิบัติการ Talos Comprehensive Threat Intelligence ของ Cisco กำลังออกคำเตือนเกี่ยวกับเวกเตอร์การโจมตีใหม่ว่ามัลแวร์ชิ้นเก่าที่ค่อนข้างเก่าได้ตัดสินใจที่จะใช้ประโยชน์ Smoke Loader ซึ่งเป็นแพ็คเกจแอพพลิเคชั่นชื่อฉาวโฉ่ซึ่งเป็นหนึ่งในกลุ่มแรก ๆ ที่ใช้ PROPagate ในการฉีดโค้ดเข้าสู่ระบบดูเหมือนว่าจะมีการกำหนดเป้าหมายไปที่เครื่อง Microsoft Windows เป็นเวลาหลายเดือน
PROPagate ถูกค้นพบครั้งแรกในเดือนตุลาคม 2017 ดังนั้นจึงเป็นวิธีใหม่ในการกำหนดเป้าหมายการติดตั้ง Windows อย่างไรก็ตาม Smoke Loader มีมาตั้งแต่อย่างน้อยปี 2011 เวอร์ชันปัจจุบันมีการพัฒนาอย่างมากและการระบาดล่าสุดบางส่วนเป็นผลมาจากแพตช์ปลอมที่อ้างว่าแก้ไขการใช้ประโยชน์จาก Meltdown และ Spectre
Smoke Loader มักจะใช้โดยแครกเกอร์เพื่อดาวน์โหลดมัลแวร์ โดยทั่วไปจะใช้เอกสาร Office ที่ติดมากับอีเมลเป็นวิธีการควบคุมระบบ
การเปิดสิ่งที่แนบมาในระบบที่ไม่ปลอดภัยสามารถทิ้งและเรียกใช้มัลแวร์เพิ่มเติมได้ กรณีที่เลวร้ายที่สุดในเดือนมิถุนายนรวมถึงแรนซัมแวร์ แต่ตอนนี้ดูเหมือนว่าการบุกรุกซีพียูเพื่อรันโค้ดการเข้ารหัสเป็นเรื่องปกติมากขึ้นในสัปดาห์ที่สองของเดือนกรกฎาคม
ผู้เชี่ยวชาญของ Cisco พบอีเมลที่มีชื่อว่า“ ใบแจ้งหนี้การสมัครสมาชิก Sage ของคุณถึงกำหนดแล้ว” ซึ่งมากกว่าที่จะทำให้ผู้คนเปิดอ่านโดยคิดว่าพวกเขาอาจมีส่วนเกี่ยวข้องกับแอปพลิเคชันการบัญชีธุรกิจยอดนิยมหลาย บริษัท
ดูเหมือนว่าผู้เชี่ยวชาญด้านความปลอดภัยของ Linux จะไม่มีรายงานว่าไฟล์แนบเหล่านี้เป็นอันตรายต่อกล่อง Unix ซึ่งรวมถึงไฟล์ที่มีเลเยอร์ความเข้ากันได้ของแอปพลิเคชัน Wine ที่ทำงานอยู่ อาจเป็นเพราะโดยปกติแล้วไฟล์แนบจะไม่เปิดใน Word แม้ในเครื่องเหล่านี้แม้ว่าผู้ใช้ GNU / Linux ยังคงได้รับการสนับสนุนให้ใช้ความระมัดระวังเมื่อเปิดไฟล์แนบเช่นนี้
Sage รวมถึงกลุ่มการสมัครใช้งานซอฟต์แวร์ในฐานะบริการอื่น ๆ โดยปกติจะไม่ส่งไฟล์ Word เป็นไฟล์แนบซึ่งควรติดธงแดงให้กับผู้ที่ได้รับอีเมลเหล่านี้ ผู้ใช้ macOS ยังไม่ได้รายงานปัญหาใด ๆ ณ ตอนนี้และไม่มีการใช้ระบบปฏิบัติการมือถือที่ใช้ Unix ใด ๆ
เนื่องจากนักวิจัยด้านความปลอดภัยบางคนอ้างถึง Smoke Loader ว่า Dofoil จึงมีความสับสนในขณะที่เขียนเกี่ยวกับมัลแวร์ส่วนใดที่รับผิดชอบในการเรียกใช้รหัสโดยพลการ อย่างไรก็ตามดูเหมือนว่าคำเหล่านี้เป็นเพียงคำศัพท์ที่แตกต่างกันเพื่ออ้างถึงการติดเชื้อเดียวกัน
แท็ก Cisco ความปลอดภัยของ Windows
