德國聯邦安全與IT辦公室(BSI)警告有心人士假冒BSI的名義發出漏洞更新的通知訊息,實際上是網釣郵件。

圖片來源: 

BSI

Meltdown與Spectre漏洞公佈後,軟、硬體廠商相繼發佈修補程式。不過國外卻流傳網釣郵件冒充提供Meltdown修補程式,誘使用戶下載。
 
德國聯邦安全與IT辦公室(BSI)周二發出公告,警告近日有歹徒冒充BSI發出標題為「重大漏洞--重要更新」的信件,內含聲稱導向Meltdown、Spectre修補程式下載網頁的連結,BSI呼籲德國民眾不要點選連結或開啟附檔。
 
由於郵件冒用政府單位名義,加上釣魚網站使用SSL加密以及包含BSI字樣的網域名,很容易讓民眾信以真。
 
安全公司Malwarebytes Labs研究後發現,郵件中的連結其實會導向名為Smoke Loader的程式。當使用者點選連結,會啟動下載名為Intel-AMD-SecurityPatch-11-01bsi.zip的壓縮檔。一旦開啟後就會下載Smoke Loader,後者呼叫一個位於俄羅斯境內的網域伺服器。
 
Smoke Loader其實在2011年就已流傳在網路黑市,至少在2015年曾經改版過。Malwarebytes發現,Smoke Loader為一木馬程式,它在安裝到系統後會注入檔案總管(explorer.exe)中,然後刪除正牌執行檔,藉此潛伏在受害機器上而不被發現。之後它會和外界C&C伺服器建立通訊,並下載各種攻擊程式。
 
Malwarebytes在發現後已經通報Comodo及DNS代管業者CloudFlare,後者迅速處置,使該網域伺服器無法為外界連結。


Advertisement

更多 iThome相關內容