Dieses falsche Spectre/Meltdown Patch wird deinen PC mit Malware infizieren

Die Smoke Loader Malware ist ein anderes Beispiel bei dem die Angreifer den Hype einer großen Schwachstelle nutzen, um Opfer zu finden.

  • Ein gefälschtes Patch für die Fehler in den Intel Sprectre und Meltdown Chips wird zur Zeit als Front für eine Malware namens Smoke Loader genutzt
  • Das Patch, welches vorgibt vom Deutschen Bundesamt für Sicherheit in der Informationstechnik zu sein, ist ein Beispiel dafür, wie Angreifer Sozialtechnik im Zuge einer High-Profile Schwachstelle nutzen um mehr Nutzer angreifen zu können.

Ein gefälschtes Patch für die großen Schwachstellen in den Spectre und Meltdown Chips dient zur Zeit als Front für eine Malware namens Smoke Loader. Eine gefälschte Webseite, die vorgibt zum Deutschen Bundesamt für Sicherheit in der Informationstechnik (BSI) zu gehören, steht laut einem Malwarebytes Blog-Post im Zusammenhang mit Smoke Loader.

In den letzten Jahren, haben sozialtechnische Bemühungen von Cyberkriminellen zu Schlagzeilen machenden Problemen geführt, wenn sie versucht haben Nutzer zu infizieren. Dies gilt vor allem für High-Profile Schwachstellen. Gefälschte Patches und Fixes grassierten nach dem kritischen WannaCry Ransomware Angriff, also war es nur eine Frage der Zeit, bevor Spectre und Meltdown auch von Kriminellen ausgenutzt wurden.

Das gefälschte Patch scheint es auf deutsche Nutzer abgesehen zu haben, und deutsche Behörden haben Bürger in einem Post vor solchen Phishing-Versuchen gewarnt. Hier haben sie deutlich darauf hingewiesen, dass E-Mails mit einem Betreff wie „Kritische Schwachstelle – wichtiges Update“ nicht geöffnet werden sollen, da diese Teil einer „Spam-Welle“ wären, die Nutzern schaden möchte.

Sobald ein Nutzer zu der gefälschten Seite weitergeleitet wird, so der Post von Malwarebytes, wird er einen Download-Link zu einer ZIP-Datei mit dem Titel Intel-AMD-SecurityPatch-11-01bsi.zip finden. Diese enthält das „sogenannte Patch (Intel-AMD-SecurityPatch-10-1-v1.exe), das in Wirklichkeit Malware ist,“ heißt es in dem Post.

Sollte ein Nutzer das gefälschte Patch herunterladen, würde er mit der Smoke Loader Malware infiziert. Smoke Loader kann zusätzliche Nutzdaten abrufen, und von Malwarebytes untersuchter Traffic scheint aufzuzeigen, dass es versucht sich zu anderen Domains zu verbinden und verschlüsselte Daten zu senden.

Es könnte auch mit einem falschen Adobe Flash Player Update in Verbindung stehen, wird in dem Post weiterhin festgestellt.

Malwarebytes sagt in dem Post, dass sie sich wegen dieses Problems an Comodo und CloudFlare gewandt haben, und dass CloudFlare daran gearbeitet hat zu verhindern, dass die schädliche Seite aufgelöst werden kann.

Laut Malwarebytes ist diese spezielle Bedrohung interessant, da sie die Nutzer dazu ermutigt ein Patch herunterzuladen (was üblicherweise ein Sicherheitsproblem löst), und weil die Seite HTTPS nutzt. Aber HTTPS ist nicht immer ein Zeichen für eine sichere Webseite, so der Post.

„Die Präsenz eines Zertifikats sagt nur aus, dass die Daten, die zwischen deinem Computer und der Seite ausgetauscht werden, gesichert sind, aber das hat nichts mit den Absichten oder dem angebotenen Inhalt zu tun, welcher ein kompletter Scam sein könnte,“ steht im Post.

Außerdem sollten Nutzer immer vorsichtig sein, wenn eine spezielle Webseite oder E-Mail zu einer bestimmten Handlung auffordert, da es extrem selten vorkommt, dass ein Unternehmen sich über deren persönliche E-Mail an Opfer wendet, um ein Patch durchzuführen.

Von der Gefahr, die diese Seite darstellt, mal abgesehen, haben auch legitime Spectre und Meltdown Patches bei den Nutzern für Probleme gesorgt. Sie haben zu instabilen Geräten, unerwarteten Reboots und weiteren Problemen geführt


Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.