Groupe de recherche et de renseignement de sécurité Talos
Les experts en sécurité des laboratoires Talos Comprehensive Threat Intelligence de Cisco lancent un avertissement concernant un nouveau vecteur d'attaque qu'un malware assez ancien a décidé d'exploiter. Smoke Loader, un package d'application notoire qui a été parmi les premiers à utiliser PROPagate pour injecter du code dans les systèmes, cible apparemment les machines Microsoft Windows depuis plusieurs mois.
PROPagate a été découvert à l'origine en octobre 2017, il représente donc un moyen assez nouveau de cibler les installations Windows. Cependant, Smoke Loader existe depuis au moins 2011. La version actuelle a considérablement évolué, et certaines des récentes épidémies sont le résultat de faux correctifs qui prétendaient corriger les exploits de Meltdown et Spectre.
Smoke Loader lui-même est généralement utilisé par un pirate pour télécharger des logiciels malveillants. Il utilise généralement des documents Office infestés joints à des courriers électroniques comme méthode pour prendre le contrôle des systèmes.
L'ouverture de la pièce jointe sur un système non sécurisé peut supprimer puis exécuter des logiciels malveillants supplémentaires. Certains des pires cas en juin incluaient les ransomwares, mais il semble maintenant que compromettre un processeur pour exécuter du code de cryptomining est plus courant à l'approche de la deuxième semaine de juillet.
Les experts de Cisco ont trouvé des e-mails intitulés «Votre facture d'abonnement Sage est due», ce qui était plus que susceptible d'amener les gens à les ouvrir en pensant qu'ils pourraient avoir quelque chose à voir avec une application de comptabilité d'entreprise populaire déployée par de nombreuses entreprises.
Il ne semble pas que les experts en sécurité Linux aient des rapports sur ces pièces jointes compromettant les boîtiers Unix, y compris ceux sur lesquels la couche de compatibilité des applications Wine est exécutée. Cela pourrait être dû au fait que la pièce jointe ne s’ouvrirait généralement pas dans Word, même sur ces machines, bien que les utilisateurs de GNU / Linux soient toujours encouragés à faire preuve de prudence lors de l’ouverture de telles pièces jointes.
Sage ainsi que d'autres groupes d'abonnement aux logiciels en tant que service n'enverraient généralement pas de fichier Word sous forme de pièce jointe de toute façon, ce qui devrait soulever des signaux d'alarme pour ceux qui reçoivent ces e-mails. Les utilisateurs de macOS n'ont pas non plus semblé rapporter de problèmes pour le moment, ni n'en utilisent aucun système d'exploitation mobile basé sur Unix.
Comme certains chercheurs en sécurité se réfèrent à Smoke Loader comme Dofoil, il existe une certaine confusion au moment de la rédaction de cet article sur le type de logiciel malveillant qui est réellement responsable de l'exécution de code arbitraire. Néanmoins, il semble que ce ne sont que des termes différents pour désigner la même infection.
Mots clés Cisco Sécurité Windows
