Talos Güvenlik İstihbarat ve Araştırma Grubu
Cisco’nun Talos Kapsamlı Tehdit İstihbaratı laboratuvarlarından güvenlik uzmanları, oldukça eski bir kötü amaçlı yazılımın yararlanmaya karar verdiği yeni bir saldırı vektörü hakkında bir uyarı yayınlıyor. Sistemlere kod enjekte etmek için PROPagate'i ilk kullananlar arasında yer alan kötü şöhretli bir uygulama paketi olan Smoke Loader, görünüşe göre birkaç aydır Microsoft Windows makinelerini hedefliyor.
PROPagate ilk olarak Ekim 2017'de keşfedildi, bu nedenle Windows kurulumlarını hedeflemenin oldukça yeni bir yolunu temsil ediyor. Ancak, Smoke Loader en az 2011'den beri piyasada. Mevcut sürüm önemli ölçüde gelişti ve son salgınların bazıları Meltdown ve Spectre istismarlarını düzelttiği iddia edilen sahte yamaların bir sonucu olarak ortaya çıktı.
Duman Yükleyicinin kendisi genellikle bir kraker tarafından kötü amaçlı yazılım indirmek için kullanılır. Genellikle sistemlerin kontrolünü ele geçirmek için e-postaya eklenmiş istila edilmiş Office belgelerini kullanır.
Eklentinin güvenli olmayan bir sistemde açılması düşebilir ve ardından ek kötü amaçlı yazılım çalıştırabilir. Haziran ayındaki en kötü vakalardan bazıları fidye yazılımı içeriyordu, ancak şimdi kripto madencilik kodunu yürütmek için bir CPU'yu tehlikeye atmanın Temmuz ayının ikinci haftasına doğru daha yaygın olduğu görülüyor.
Cisco uzmanları, 'Sage abonelik faturanızın süresi doldu' başlıklı e-postalar buldular; bu, insanların, pek çok şirketin uyguladığı popüler bir ticari muhasebe uygulamasıyla bir ilgileri olabileceğini düşünmelerine yol açması olasıdır.
Görünüşe göre Linux güvenlik uzmanları, üzerinde çalışan Wine uygulama uyumluluk katmanına sahip olanlar da dahil olmak üzere bu eklerin Unix kutularından ödün verdiğine dair herhangi bir rapora sahip değiller. Bunun nedeni, ekin genellikle bu makinelerde bile Word'de açılmaması olabilir, ancak GNU / Linux kullanıcılarının yine de böyle ekleri açarken dikkatli olmaları önerilir.
Sage ve diğer hizmet olarak yazılım abonelik grupları genellikle bir ek olarak bir Word dosyası göndermezler, bu da bu e-postaları alanlara kırmızı bayraklar getirmelidir. macOS kullanıcıları da henüz herhangi bir sorun bildirmediler ve herhangi bir Unix tabanlı mobil işletim sistemi kullanmıyorlar.
Bazı güvenlik araştırmacıları, Smoke Loader'ı Dofoil olarak adlandırdığı için, bu yazının yazıldığı sırada, keyfi kodun yürütülmesinden gerçekte hangi kötü amaçlı yazılımın sorumlu olduğu konusunda bazı karışıklıklar var. Yine de, bunların aynı enfeksiyona atıfta bulunmak için yalnızca farklı terimler olduğu görülüyor.
Etiketler Cisco Windows güvenliği
