Talos Security Intelligence and Research Group
Los expertos en seguridad de los laboratorios Talos Comprehensive Threat Intelligence de Cisco están emitiendo una advertencia sobre un nuevo vector de ataque que un malware bastante antiguo ha decidido explotar. Smoke Loader, un paquete de aplicaciones notorio que estuvo entre los primeros en usar PROPagate para inyectar código en los sistemas, aparentemente ha estado apuntando a las máquinas de Microsoft Windows durante varios meses.
PROPagate se descubrió originalmente en octubre de 2017, por lo que representa una forma bastante nueva de apuntar a las instalaciones de Windows. Sin embargo, Smoke Loader ha existido desde al menos 2011. La versión actual ha evolucionado considerablemente, y algunos de los brotes recientes han sido el resultado de parches falsos que pretendían corregir los exploits Meltdown y Spectre.
El propio cargador de humo suele ser utilizado por un pirata informático para descargar malware. Por lo general, utiliza documentos de Office infestados adjuntos al correo electrónico como método para obtener el control de los sistemas.
Abrir el archivo adjunto en un sistema inseguro puede caer y luego ejecutar malware adicional. Algunos de los peores casos en junio incluyeron ransomware, sin embargo, ahora parece que comprometer una CPU para ejecutar código de criptominería es más común en la segunda semana de julio.
Los expertos de Cisco encontraron correos electrónicos titulados “Su factura de suscripción a Sage vence”, lo que probablemente hizo que la gente los abriera pensando que podrían tener algo que ver con una popular aplicación de contabilidad empresarial que muchas empresas implementan.
No parece que los expertos en seguridad de Linux tengan informes de que estos archivos adjuntos comprometan las cajas Unix, que incluyen aquellos que tienen la capa de compatibilidad de la aplicación Wine ejecutándose en ellos. Esto podría deberse a que el archivo adjunto normalmente no se abre en Word ni siquiera en estas máquinas, aunque se recomienda a los usuarios de GNU / Linux que tengan cuidado al abrir archivos adjuntos como este.
Sage, así como otros grupos de suscripción de software como servicio, generalmente no enviarían un archivo de Word como adjunto de todos modos, lo que debería generar señales de alerta para quienes reciben estos correos electrónicos. Los usuarios de macOS tampoco parecen haber informado de ningún problema hasta el momento, ni han utilizado ningún sistema operativo móvil basado en Unix.
Como algunos investigadores de seguridad se refieren a Smoke Loader como Dofoil, existe cierta confusión en el momento de escribir este artículo sobre qué pieza de malware es realmente responsable de ejecutar código arbitrario. Sin embargo, parece que estos son simplemente términos diferentes para referirse a la misma infección.
Etiquetas Cisco Seguridad de Windows
