タロスセキュリティインテリジェンスアンドリサーチグループ
CiscoのTalosComprehensive Threat Intelligenceラボのセキュリティ専門家は、かなり古いマルウェアが悪用することを決定した新しい攻撃ベクトルについて警告を発しています。 PROPagateを使用してシステムにコードを挿入した最初のアプリケーションパッケージであるSmokeLoaderは、数か月間MicrosoftWindowsマシンを標的にしていたようです。
PROPagateは元々2017年10月に発見されたため、Windowsインストールをターゲットにするかなり新しい方法を表しています。ただし、Smoke Loaderは少なくとも2011年から存在しています。現在のバージョンは大幅に進化しており、最近の発生の一部は、MeltdownおよびSpectreのエクスプロイトを修正すると主張する偽のパッチの結果です。
Smoke Loader自体は通常、クラッカーがマルウェアをダウンロードするために使用します。通常、システムを制御する方法として、電子メールに添付された感染したOfficeドキュメントを使用します。
安全でないシステムで添付ファイルを開くと、追加のマルウェアがドロップされて実行される可能性があります。 6月の最悪のケースにはランサムウェアが含まれていましたが、7月の第2週に向けて、CPUを侵害して暗号化コードを実行することがより一般的になっているようです。
シスコの専門家は、「Your Sageサブスクリプションの請求書の期限が迫っています」というタイトルの電子メールを見つけました。これは、多くの企業が展開している人気のある企業会計アプリケーションと関係があるのではないかと人々に思わせる可能性が高いものです。
Linuxのセキュリティ専門家は、これらの添付ファイルがUnixボックスを危険にさらしているという報告を持っていないようです。これには、Wineアプリケーション互換性レイヤーが実行されているものも含まれます。これは、これらのマシンでも添付ファイルが通常Wordで開かないことが原因である可能性がありますが、GNU / Linuxユーザーは、このような添付ファイルを開くときに注意を払うことをお勧めします。
Sageやその他のSoftware-as-a-Serviceサブスクリプショングループは、通常、Wordファイルを添付ファイルとして送信しないため、これらの電子メールを受信した人に危険信号が発生するはずです。 macOSユーザーも、現時点では問題を報告していないようで、Unixベースのモバイルオペレーティングシステムを使用していません。
一部のセキュリティ研究者はSmokeLoaderをDofoilと呼んでいるため、この記事の執筆時点では、どのマルウェアが任意のコードの実行に実際に関与しているかについて混乱が生じています。それにもかかわらず、これらは同じ感染を指すための単なる異なる用語であるように思われます。
タグ シスコ Windowsのセキュリティ
