從 2017 年 12 月底延燒至今的 Spectre 和 Meltdown CPU 漏洞問題,各家業者紛紛提出各種安全性更新,藉以舒緩與防堵,不過現在國外的安全機構 MalwareBytes 卻發現有不肖人士趁火打劫,推出假好意、真開後門的假冒 Intel 兩大漏洞安全性更新的 惡意軟體 Smoke Loader ,實在有夠夭壽骨!
假冒 Intel 兩大漏洞安全性更新 的 惡意軟體 Smoke Loader 現身
由於媒體的關注,各家業者已經馬不停蹄地推出更新用以防堵兩大 CPU 漏洞 Spectre 和 Meltdown ,不過在此兵荒馬亂之際,安全機構 MalwareBytes 研究室發現無良惡意軟體 Smoke Loader 竟假冒成 Intel 的安全性更新來蒙騙使用者下載安裝,藉此在你的電腦中大開後門並竊取個人資料。
※圖片來源
目前 Smoke Loader 的主要散布地區在德國,傳播的方式則是透過釣魚性質的電子郵件,或是資源彙整網站來誤導沒有戒心的使用者點擊下載。MalwareBytes 研究室證實了一個最近新註冊的域名,上面提供一些看似 Spectre 和 Meltdown 的外部資訊連結,並闡述這兩個漏洞將會對處理器產生的影響,乍看之下這個網站似乎來自德國聯邦訊息安全辦公室(BSI),實際上這個採用 SSL 加密技術的釣魚網站並不隸屬於任何合法或官方政府擁有。
在同一域名下的所謂「更新」(Intel-AMD-SecurityPatch-10-1-v1.exe)的壓縮檔(Intel- AMD-SecurityPatch-11-01bsi.zip)的連結是一個惡意軟體,點擊就會開始下載。只要運行後,使用者即會感染 Smoke Loader,它會自行打開電腦的後門,執行各種後續操作,並且嘗試連接一些俄羅斯的網域,並且試圖將你電腦中的個人訊息加密傳送出去。
在被濫用的 SSL 加密中發現有 Subject Alternative Name 的相關顯示以及 .bid 相關的其他屬性,其中包含用於假冒成 Adobe Flash Player 更新的德語版模組。
雖然目前還只是在德國,並不代表未來不會擴大到全球範圍,請記住就算是 HTTPS 的網站都不見得能完全信任,SSL 僅代表你的電腦與網站之間的資料傳輸是安全的,這與網站內部所顯示的內容安全性毫無相關,所以若要下載更新還是請尋求官方提供的方式最為妥當與安心。
◎資料來源: MalwareBytes 、