يصف خبراء الأمن في Cisco ناقل هجوم جديد للبرامج الضارة القديمة

مجموعة Talos Security Intelligence and Research Group

يُصدر خبراء الأمن من مختبرات Talos الشاملة لذكاء المخاطر التابعة لشركة Cisco تحذيرًا بشأن ناقل هجوم جديد قرر برنامج ضار قديم إلى حد ما استغلاله. يبدو أن Smoke Loader ، وهي حزمة تطبيقات سيئة السمعة كانت من بين أول من استخدم PROPagate لحقن التعليمات البرمجية في الأنظمة ، تستهدف أجهزة Microsoft Windows لعدة أشهر.

تم اكتشاف PROPagate في الأصل في أكتوبر 2017 ، لذا فهو يمثل طريقة جديدة إلى حد ما لاستهداف عمليات تثبيت Windows. ومع ذلك ، كان Smoke Loader موجودًا منذ عام 2011 على الأقل. تطورت النسخة الحالية بشكل كبير ، وكانت بعض حالات التفشي الأخيرة نتيجة تصحيحات وهمية ادعت أنها تصحح مآثر Meltdown و Specter.

عادةً ما يتم استخدام Smoke Loader نفسه بواسطة جهاز تكسير لتنزيل البرامج الضارة. يستخدم بشكل عام مستندات Office الموبوءة المرفقة بالبريد الإلكتروني كطريقة للسيطرة على الأنظمة.

يمكن أن يؤدي فتح المرفق على نظام غير آمن إلى إسقاط البرامج الضارة الإضافية ثم تنفيذها. تضمنت بعض أسوأ الحالات في يونيو برامج الفدية ، ولكن يبدو الآن أن اختراق وحدة المعالجة المركزية لتنفيذ كود تشفير التشفير هو أكثر شيوعًا في الأسبوع الثاني من يوليو.

وجد خبراء Cisco رسائل بريد إلكتروني بعنوان 'فاتورة اشتراك Sage الخاصة بك مستحقة الدفع' ، والتي كان من المرجح أن تجعل الناس يفتحونها معتقدين أنه قد يكون لهم علاقة بتطبيق محاسبة الأعمال الشهير الذي تنشره العديد من الشركات.

لا يبدو أن خبراء أمان Linux لديهم أي تقارير عن أن هذه المرفقات تخترق مربعات Unix ، والتي تتضمن تلك المرفقات التي تعمل على طبقة توافق تطبيق Wine عليها. قد يكون هذا بسبب أن المرفق عادة لا يفتح في Word حتى على هذه الأجهزة ، على الرغم من أن مستخدمي GNU / Linux لا يزالون نشجعهم على توخي الحذر عند فتح مرفقات مثل هذه.

لن تقوم Sage بالإضافة إلى مجموعات الاشتراك في البرامج كخدمة الأخرى عادةً بإرسال ملف Word كمرفق على أي حال ، مما قد يؤدي إلى رفع العلامات الحمراء لأولئك الذين يتلقون رسائل البريد الإلكتروني هذه. يبدو أيضًا أن مستخدمي macOS لم يبلغوا عن أي مشاكل حتى الآن ، ولم يستخدموا أي أنظمة تشغيل محمولة تعتمد على Unix.

نظرًا لأن بعض الباحثين الأمنيين يشيرون إلى Smoke Loader باسم Dofoil ، فقد كان هناك بعض الالتباس في وقت كتابة هذه السطور حول أي جزء من البرامج الضارة مسؤول فعليًا عن تنفيذ تعليمات برمجية عشوائية. ومع ذلك ، يبدو أن هذه مجرد مصطلحات مختلفة للإشارة إلى نفس العدوى.