Вредонос Smoke Loader распространяется через поддельный патч для Meltdown и Spectre
Правительство Германии предупредило пользователей о новой фишинговой кампании, в ходе которой злоумышленники распространяют вредоносное ПО Smoke Loader под видом исправлений для уязвимостей Meltdown и Spectre. Вредоносные письма отправлены якобы от Федерального управления по информационной безопасности ФРГ (Bundesamt für Sicherheit in der Informationstechnik, BSI).
По словам исследователей кибербезопасности из компании Malwarebytes Labs, в письме пользователю предлагают перейти на фишинговый сайт, содержащий ссылки на различные ресурсы с информацией об уязвимостях. Сайт замаскирован под страницу, принадлежащую BSI, однако на самом деле не имеет никакого отношения к каким-либо государственным органам или учреждениям.
На мошенническом домене также присутствует ссылка на ZIP-архив (Intel-AMD-SecurityPatch-11-01bsi.zip), якобы содержащий исправление для уязвимостей. После запуска «патча» устройство жертвы заражается загрузчиком Smoke Loader. Как выяснили исследователи в ходе анализа трафика, вредонос пытается подключиться к ряду различных доменов и отправить зашифрованные данные.
В используемом злоумышленниками SSL-сертификате исследователям удалось обнаружить ряд свойств, присущих домену .bid, в частности в поле Subject Alternative Name.
Эксперты оперативно уведомили компанию-поставщика SSL-сертификатов Comodo и сервис по обеспечению безопасности CloudFlare о мошенническом ресурсе, после чего последний был удален.
Уязвимости Meltdown и Spectre были обнаружены в начале января 2018 года. Они затрагивают почти все процессоры, выпущенные с 1995 года, и позволяют злоумышленнику читать содержимое любой области памяти, в том числе памяти ядра ОС, а также получать данные приложений, запущенных другими пользователями.
Читайте также
- Ошибка в API Facebook предоставляла доступ к фото 6,8 млн пользователей
- Одного ноутбука оказалось достаточно для компрометации всей корпоративной сети
- Депутаты Госдумы разработали план по обеспечению работы Рунета на случай отключения от Сети
- Морские суда часто подвергаются кибератакам
- 25 декабря состоится встреча сообщества специалистов по кибербезопасности АСУ ТП / RUSCADASEC
- Уязвимость в приложении Logitech позволяла удаленно инициировать нажатие клавиш