从 2017 年 12 月底延烧至今的 Spectre 和 Meltdown CPU 漏洞问题,各家业者纷纷提出各种安全性更新,藉以舒缓与防堵,不过现在国外的安全机构 MalwareBytes 却发现有不肖人士趁火打劫,推出假好意、真开后门的假冒 Intel 两大漏洞安全性更新的 恶意软件 Smoke Loader ,实在有够夭寿骨!
假冒 Intel 两大漏洞安全性更新 的 恶意软件 Smoke Loader 现身
由于媒体的关注,各家业者已经马不停蹄地推出更新用以防堵两大 CPU 漏洞 Spectre 和 Meltdown ,不过在此兵荒马乱之际,安全机构 MalwareBytes 研究室发现无良恶意软件 Smoke Loader 竟假冒成 Intel 的安全性更新来蒙骗使用者下载安装,借此在你的电脑中大开后门并窃取个人资料。
※图片来源
目前 Smoke Loader 的主要散布地区在德国,传播的方式则是透过钓鱼性质的电子邮件,或是资源汇整网站来误导没有戒心的使用者点击下载。MalwareBytes 研究室证实了一个最近新注册的域名,上面提供一些看似 Spectre 和 Meltdown 的外部资讯连结,并阐述这两个漏洞将会对处理器产生的影响,乍看之下这个网站似乎来自德国联邦讯息安全办公室(BSI),实际上这个采用 SSL 加密技术的钓鱼网站并不隶属于任何合法或官方政府拥有。
在同一域名下的所谓"更新"(Intel-AMD-SecurityPatch-10-1-v1.exe)的压缩档(Intel- AMD-SecurityPatch-11-01bsi.zip)的连结是一个恶意软件,点击就会开始下载。只要运行后,使用者即会感染 Smoke Loader,它会自行打开电脑的后门,执行各种后续操作,并且尝试连接一些俄罗斯的网域,并且试图将你电脑中的个人讯息加密传送出去。
在被滥用的 SSL 加密中发现有 Subject Alternative Name 的相关显示以及 .bid 相关的其他属性,其中包含用于假冒成 Adobe Flash Player 更新的德语版模组。
虽然目前还只是在德国,并不代表未来不会扩大到全球范围,请记住就算是 HTTPS 的网站都不见得能完全信任,SSL 仅代表你的电脑与网站之间的资料传输是安全的,这与网站内部所显示的内容安全性毫无相关,所以若要下载更新还是请寻求官方提供的方式最为妥当与安心。
◎资料来源: MalwareBytes 、
