Malware é disseminado como correção para o bug Meltdown e Spectre

Não é de hoje que atacantes tiram proveito de usuários desavisados. A engenharia social ainda é a técnica mais utilizada para a infecção por malware, pois faz que com as pessoas realizem algo, que normalmente não fariam se soubessem dos motivos reais.

Atacantes estão tirando proveito da vulnerabilidade causada bug Meltdown e Spectre, que afeta todos os processadores modernos. A “malandragem” vem na forma de um patch de correção, trazendo no “pacote” o malware Smoke Loader.

Pesquisadores de segurança da Malwarebytes descobriram uma campanha de phishing direcionada a usuários alemães e parece ter originado da Agência Federal Alemã de Segurança da Informação (BSI).

O domínio foi registrado recentemente e consiste em vários links externos, e detalhes sobre o bug Meltdown e Spectre, além de ter SSL habilitado.

(não que isso garanta alguma coisa…)

Malware Smoke Loader
Fonte imagem: https://blog.malwarebytes.com/cybercrime/2018/01/fake-spectre-and-meltdown-patch-pushes-smoke-loader/

O site malicioso infecta as vítimas por meio do arquivo compactado Intel-AMD-SecurityPatch-11-01bsi.zip, que revela o arquivo Intel-AMD-SecurityPatch-10-1-v1.exe ao ser descompactado.

Informações sobre o malware ‘Smoke Loader’

Site malicioso

sicherheit-informationstechnik[.]bid

Hash SHA256 do malware

CD17CE11DF9DE507AF025EF46398CFDCB99D3904B2B5718BFF2DC0B01AEAE38C

Uma vez que o arquivo malicioso é executado, os usuários terão seus sistemas infectados com o malware Smoke Loader, que poderá realizar o download de outros malwares caso necessário. A infecção ocorre de forma criptografada e tenta se conectar a vários domínios. A Malwarebytes publicou um relatório técnico, disponível neste link.

A Clouflare, empresa de CDN (Content Delivery Network) foi contatada para tomar alguma ação perante o abuso e o site foi retirado do ar em minutos.

Site com HTTPS é seguro?

É evidente que não devemos confiar cegamente em um site que possui HTTPS. O Certificado TLS serve apenas para criptografar a conexão entre o navegador do usuário e o servidor onde se encontra o site “seguro” acessado (Veja mais em: Por que a comunidade de SI, precisa parar os “especialistas” da Globo).

No meio de tantos sites duvidosos disponíveis na Internet é muito dificil encontrar um que seja confiável. Se receber uma url proveniente de fonte desconhecida, recomendamos uma verificação cruzada da url antes de clicar nela. Uma boa dica para isso é colar a url no Google e ver que informações consegue obter dela.

Existem vários analisadores de url que você pode utilizar. Se ela estiver encurtada, através destes sites conseguirá ver a url real e assim realizar uma verificação cruzada.

Ferramentas para analisar websites

Para URLs encurtadas

Scanner de malware em websites

É um dos mais poderosos, mas pode levar mais tempo para concluir a análise. No entanto, fornecerá informações mais detalhadas sobre o site analisado.

Outros scanners

 

 

Fonte:

https://gbhackers.com/beware-spectre-meltdown-smoke-loader/

Fake Spectre and Meltdown patch pushes Smoke Loader malware

Smoke Loader – downloader with a smokescreen still alive

 

Comentários