Questa falsa patch Spectre/Meltdown infetterà il tuo PC con malware

Il malware Smoke Loader è un altro esempio di attaccanti che usano la preoccupazione di una grossa vulnerabilità per colpire le vittime.

Costruire un mazzo di diapositive, pitch o presentazione? Ecco i grandi takeaway:
  • Una falsa patch per le falle dei chip Intel Spectre e Meltdown è in realtà un trampolino per un malware chiamato Smoke Loader.
  • La patch, che afferma di arrivare dall’Ufficio Federale Tedesco per la Sicurezza Informatica, è un esempio di attaccanti che usano l’ingegneria sociale parlando di vulnerabilità ad alto profilo per colpire più utenti.

Una falsa patch per le falle Spectre e Meltdown è in realtà un malware chiamato Smoke Loader. Un sito web falso che dichiara di essere parte dell’Ufficio Federale Tedesco per la Sicurezza Informatica (BSI) è associato con Smoke Loader, secondo un post sul blog di Malwarebytes.

Negli ultimi anni, gli sforzi di ingegneria sociale dei cybercriminali hanno fatto leva sui problemi conosciuti per cercare di infettare gli utenti. Questo è specialmente vero per le vulnerabilità con alto profilo. Le false patch e fix erano moltissime dopo l’attacco ransomware WannaCry, perciò era solo questione di tempo prima che Spectre e Meltdown fossero usate dai criminali.

Le false patch sembrano mirate agli utenti tedeschi, e le autorità tedesche hanno avvisato i cittadini di questo attacco phishing in un post che invita gli utenti a non aprira le email con oggetti come “Vulnerabilità critica – aggiornamento importante”, dicendo che è parte di un’ “ondata di spam” che cercadi sfruttare gli utenti.

Una volta che un utente è diretto al sito falso, dice il post di Malwarebytes, troverà un link per il download di un archivio ZIP chiamato Intel-AMD-SecurityPatch-11-01bsi.zip. Questo contiene una “così-chiamata patch (Intel-AMD-SecurityPatch-10-1-v1.exe), che in realtà è un malware”, dice il post.

Se un utente scarica ed esegue la falsa patch, sarà infetta con il malware Smoke Loader. Smoke Loader può richiedere pagamenti aggiuntivi, ed il traffico analizzato da Malwarebytes sembra mostrare che prova a connettersi ad altri domini ed inviare dati criptati.

Può anche essere associato ad un falso aggiornamento di Adobe Flash Player, dice il post.

Malwarebytes dice nel post che lo hanno saputo anche Comodo e Cloudflare, e che Cloudflare ha lavorato per risolvere con il sito maligno.

Secondo Malwarebytes, questa particolare minaccia è interessante perchè incoraggia gli utenti a scaricare una patch(che solitamente risolve un problema di sicurezza, e perchè il sito usa HTTPS. Ma HTTPS non è sempre segno di un sito sicuro, dice il post.

“La presenza di un certificato implica semplicemente che i dati che transitano tra il tuo computer ed il sito sono sicuri, ma questo non ha niente a che fare con le intenzioni o con il contenuto offerto, che potrebbe essere una completa truffa”, dice il post.

Inoltre, gli utenti dovrebbero sempre procedere con cautela quando un particolare sito web o una email incoraggia ad una specifica azione, in quanto è molto raro che un’azienda utilizzi la email personale per applicare una patch.

A parte la minaccia di questo sito, anche le patch legittime Spectre e Meltdown hanno causato problemi agli utenti. Hanno portato a macchine instabili, riavvii inaspettati, ed altro.

Lascia un commento

Il tuo indirizzo email non sarà pubblicato. I campi obbligatori sono contrassegnati *