假冒英特爾兩大漏洞安全性更新的惡意軟體Smoke Loader現身

從2017年12月底延燒至今的Spectre和Meltdown CPU漏洞問題，各家業者紛紛提出各種安全性更新，藉以舒緩與防堵，不過現在國外的安全機構MalwareBytes卻發現有不肖人士趁火打劫，推出假好意、真開後門的假冒英特爾兩大漏洞安全性更新的惡意軟體Smoke Loader，實在是有夠過分的！

由於媒體的關注，各家業者已經馬不停蹄地推出更新用以防堵兩大CPU漏洞Spectre和Meltdown，不過在此兵荒馬亂之際，安全機構MalwareBytes研究室發現無良惡意軟體Smoke Loader竟假冒成英特爾的安全性更新來矇騙使用者下載安裝，藉此在你的電腦中大開後門竊取個人資料。

目前Smoke Loader的主要散布地區在德國，傳播方式則是透過釣魚性質的電子郵件，或是資源彙整網站來誤導沒有戒心的使用者點擊下載。MalwareBytes研究室證實了一個最近新註冊的域名，上面提供一些看似Spectre和Meltdown的外部信息鏈接，並闡述這兩個漏洞將會對處理器產生的影響，乍看之下這個網站似乎來自德國聯邦信息安全辦公室（BSI），實際上這個採用SSL加密技術的釣魚網站並不隸屬於任何合法或官方政府擁有。

在同一域名下的所謂「更新」（Intel-AMD-SecurityPatch-10-1-v1.exe）的壓縮檔、（Intel- AMD-SecurityPatch-11-01bsi.zip）的鏈接是個惡意軟體，點擊就會開始下載。只要運行後，使用者即會感染Smoke Loader，它會自行打開電腦的後門，執行各種後續操作，並且嘗試連接一些俄羅斯的網域，並且試圖將你電腦中的個人信息加密傳送出去。

在被濫用的SSL加密中發現有Subject Alternative Name的相關顯示以及.bid相關的其他屬性，其中包含用於假冒成Adobe Flash播放器更新的德語版模塊。

雖然目前還只是在德國，並不代表未來不會擴大到全球範圍，請記住就算是HTTPS的網站都不見得能完全信任，SSL僅代表你的電腦與網站之間的數據傳輸是安全的，這與網站內部所顯示的內容安全性毫無關聯，所以若要下載更新還是去官網最為妥當與安心。

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！