Não é de hoje que atacantes tiram proveito de usuários desavisados. A engenharia social ainda é a técnica mais utilizada para a infecção por malware, pois faz que com as pessoas realizem algo, que normalmente não fariam se soubessem dos motivos reais.
Atacantes estão tirando proveito da vulnerabilidade causada bug Meltdown e Spectre, que afeta todos os processadores modernos. A “malandragem” vem na forma de um patch de correção, trazendo no “pacote” o malware Smoke Loader.
Pesquisadores de segurança da Malwarebytes descobriram uma campanha de phishing direcionada a usuários alemães e parece ter originado da Agência Federal Alemã de Segurança da Informação (BSI).
O domínio foi registrado recentemente e consiste em vários links externos, e detalhes sobre o bug Meltdown e Spectre, além de ter SSL habilitado.
(não que isso garanta alguma coisa…)
O site malicioso infecta as vítimas por meio do arquivo compactado Intel-AMD-SecurityPatch-11-01bsi.zip, que revela o arquivo Intel-AMD-SecurityPatch-10-1-v1.exe ao ser descompactado.
Informações sobre o malware ‘Smoke Loader’
Site malicioso
sicherheit-informationstechnik[.]bid
Hash SHA256 do malware
CD17CE11DF9DE507AF025EF46398CFDCB99D3904B2B5718BFF2DC0B01AEAE38C
Uma vez que o arquivo malicioso é executado, os usuários terão seus sistemas infectados com o malware Smoke Loader, que poderá realizar o download de outros malwares caso necessário. A infecção ocorre de forma criptografada e tenta se conectar a vários domínios. A Malwarebytes publicou um relatório técnico, disponível neste link.
A Clouflare, empresa de CDN (Content Delivery Network) foi contatada para tomar alguma ação perante o abuso e o site foi retirado do ar em minutos.
Site com HTTPS é seguro?
É evidente que não devemos confiar cegamente em um site que possui HTTPS. O Certificado TLS serve apenas para criptografar a conexão entre o navegador do usuário e o servidor onde se encontra o site “seguro” acessado (Veja mais em: Por que a comunidade de SI, precisa parar os “especialistas” da Globo).
No meio de tantos sites duvidosos disponíveis na Internet é muito dificil encontrar um que seja confiável. Se receber uma url proveniente de fonte desconhecida, recomendamos uma verificação cruzada da url antes de clicar nela. Uma boa dica para isso é colar a url no Google e ver que informações consegue obter dela.
Existem vários analisadores de url que você pode utilizar. Se ela estiver encurtada, através destes sites conseguirá ver a url real e assim realizar uma verificação cruzada.
Ferramentas para analisar websites
Para URLs encurtadas
- unshorten
- Redirect Traker (Sugestão de Karen Ferrer)
Scanner de malware em websites
É um dos mais poderosos, mas pode levar mais tempo para concluir a análise. No entanto, fornecerá informações mais detalhadas sobre o site analisado.
Outros scanners
Fonte:
https://gbhackers.com/beware-spectre-meltdown-smoke-loader/
