Talos Security Intelligence and Research Group
Os especialistas em segurança dos laboratórios Talos Comprehensive Threat Intelligence da Cisco estão emitindo um aviso sobre um novo vetor de ataque que um malware bastante antigo decidiu explorar. O Smoke Loader, um notório pacote de aplicativos que foi um dos primeiros a usar PROPagate para injetar código em sistemas, aparentemente tem como alvo máquinas Microsoft Windows há vários meses.
PROPagate foi descoberto originalmente em outubro de 2017, portanto, representa uma maneira relativamente nova de direcionar as instalações do Windows. No entanto, o Smoke Loader existe desde pelo menos 2011. A versão atual evoluiu consideravelmente, e alguns dos surtos recentes foram resultado de patches falsos que afirmavam corrigir os exploits Meltdown e Spectre.
O próprio Smoke Loader é geralmente usado por um cracker para baixar malware. Ele geralmente usa documentos do Office infestados anexados a e-mail como um método de obter controle dos sistemas.
Abrir o anexo em um sistema inseguro pode cair e, em seguida, executar malware adicional. Alguns dos piores casos em junho incluíram ransomware, no entanto, agora parece que comprometer uma CPU para executar o código de criptomineração é mais comum na segunda semana de julho.
Os especialistas da Cisco encontraram e-mails com o título “Sua fatura de assinatura do Sage está vencida”, o que provavelmente levaria as pessoas a abri-los pensando que eles poderiam ter algo a ver com um aplicativo de contabilidade empresarial popular que muitas empresas implantam.
Não parece que os especialistas em segurança do Linux tenham qualquer relatório desses anexos comprometendo as caixas Unix, o que inclui aqueles que têm a camada de compatibilidade de aplicativos Wine em execução neles. Isso pode ocorrer porque o anexo geralmente não abre no Word mesmo nessas máquinas, embora os usuários do GNU / Linux sejam encorajados a ter cuidado ao abrir anexos como este.
O Sage, assim como outros grupos de assinatura de software como serviço, geralmente não enviariam um arquivo do Word como um anexo, o que deveria alertar aqueles que recebem esses e-mails. Os usuários do macOS também não parecem ter relatado nenhum problema até o momento, nem qualquer uso de sistemas operacionais móveis baseados em Unix.
Como alguns pesquisadores de segurança se referem ao Smoke Loader como Dofoil, há alguma confusão no momento em que este texto foi escrito sobre qual parte do malware é realmente responsável pela execução de código arbitrário. No entanto, parece que esses são apenas termos diferentes para se referir à mesma infecção.
Tag Cisco Segurança do Windows
