Вредонос Smoke Loader распространяется через поддельный патч для Meltdown и Spectre

Правительство Германии предупредило пользователей о новой фишинговой кампании, в ходе которой злоумышленники распространяют вредоносное ПО Smoke Loader под видом исправлений для уязвимостей Meltdown и Spectre. Вредоносные письма отправлены якобы от Федерального управления по информационной безопасности ФРГ (Bundesamt für Sicherheit in der Informationstechnik, BSI).

По словам исследователей кибербезопасности из компании Malwarebytes Labs, в письме пользователю предлагают перейти на фишинговый сайт, содержащий ссылки на различные ресурсы с информацией об уязвимостях. Сайт замаскирован под страницу, принадлежащую BSI, однако на самом деле не имеет никакого отношения к каким-либо государственным органам или учреждениям.

На мошенническом домене также присутствует ссылка на ZIP-архив (Intel-AMD-SecurityPatch-11-01bsi.zip), якобы содержащий исправление для уязвимостей. После запуска «патча» устройство жертвы заражается загрузчиком Smoke Loader. Как выяснили исследователи в ходе анализа трафика, вредонос пытается подключиться к ряду различных доменов и отправить зашифрованные данные.

В используемом злоумышленниками SSL-сертификате исследователям удалось обнаружить ряд свойств, присущих домену .bid, в частности в поле Subject Alternative Name.

Эксперты оперативно уведомили компанию-поставщика SSL-сертификатов Comodo и сервис по обеспечению безопасности CloudFlare о мошенническом ресурсе, после чего последний был удален.

Уязвимости Meltdown и Spectre были обнаружены в начале января 2018 года. Они затрагивают почти все процессоры, выпущенные с 1995 года, и позволяют злоумышленнику читать содержимое любой области памяти, в том числе памяти ядра ОС, а также получать данные приложений, запущенных другими пользователями.