Поддельный немецкоязычный сайт уже заблокирован, пользователи предупреждены о вредоносной спам-кампании.
Исследователи из Malwarebytes обнаружили поддельный сайт Федерального управления по информационной безопасности Германии (Bundesamt f?r Sicherheit in der Informationstechnik, BSI), созданный для распространения программы-загрузчика Smoke Loader под видом патча для уязвимостей Meltdown и Spectre.
Вредоносная копия сайта BSI, размещенная в домене .bid, использует SSL-сертификат, выданный УЦ Comodo, и содержит информацию о Spectre и Meltdown. Здесь же приведена ссылка на «патч от Intel и AMD» — zip-архив с вредоносным исполняемым файлом.
В ходе тестирования данный зловред, идентифицированный как Smoke Loader, пытался соединяться с разными сайтами в зоне RU и отправлять зашифрованные данные.
Примечательно, что в поле subjectAltName сертификата, используемого злоумышленниками, указана не только информация, ассоциированная с их доменом, но также значения, свидетельствующие о наличии немецкоязычного шаблона для поддельного обновления Adobe Flash Player.
Исследователи уведомили о своей находке Comodo и CDN-провайдера CloudFlare; благодаря отклику последнего доступ к вредоносному сайту был за считанные минуты заблокирован.
Киберзлоумышленники всегда прилежно отслеживают «горячие» новости и оперативно пускают в ход такие темы в качестве приманки. На прошлой неделе BSI опубликовало предупреждение о спамовых письмах, написанных от имени Управления и предлагающих патч для Spectre/Meltdown. В отдельном пресс-релизе представители власти пояснили, что вендоры никогда не распространяют обновления по электронной почте. В обеих публикациях приведены скриншоты спам-письма и поддельного сайта с вредоносными ссылками.