Un site allemand distribue le malware Smoke Loader déguisé en patch de Spectre et Meltdown

Il est primordial d'appliquer les correctifs des vulnérabilités Spectre et Meltdown. Il est d'autant plus important de faire attention à l'origine de ces patchs. MalwareBytes a découvert dernièrement de faux téléchargements de ces derniers sur un site allemand.

Les vulnérabilités Meltdown et Spectre, qui affectent les micro-processeurs Intel, AMD et ARM, exploitent la façon dont les micro-processeurs gèrent les exécutions spéculatives pour voler des données sensibles sur les systèmes vulnérables. Il peut s'agir d'ordinateurs, de téléphones ou encore de serveurs.

Un patch particulier, apparemment destiné aux utilisateurs allemands et qui semble profiter de la panique liée à Meltdown et Spectre, est en réalité un logiciel malveillant connu sous le nom de Smoke Loader. Ce malware se propage par phishing au travers d'un site dont l'iconographie laisse présumer qu'il s'agit d'une page officielle du bureau fédéral allemand de la sécurité de l'information. Le site présente vers un lien vers une archive ZIP contenant le malware (Intel-AMD-SecurityPatch-10-1-v1.exe).

Une première version de Smoke Loader a été découverte en 2011 sur le Dark Web. Il tire son nom de sa capacité à se cacher une fois installé. Après l'infection d'un système, le logiciel malveillant tentera de se connecter à divers domaines et de télécharger des charges utiles supplémentaires.

Plus précisément, après avoir été déployé, Smoke Loader s'injecte dans explorer.exe et supprime l'exécutable d'origine puis établit de nouvelles connexions depuis le processus explorer. Pour assurer sa persistance, Smoke Loaded ajoute sa version actuelle et tous les autres exécutables téléchargés au registre Windows. Les noms des clés sont choisis au hasard parmi les noms des entrées existantes.

Cette méthode de persistance est assez simple, c'est pourquoi des mesures supplémentaires de protection contre la détection sont mises en œuvre pour le module principal. L'horodatage de l'exécutable supprimé est modifié, de sorte que les logiciels malveillants ne puissent pas être trouvés en recherchant dans les fichiers récemment modifiés. L'accès au fichier est bloqué (il n'est pas possible d'effectuer des opérations de lecture ou d'écriture dessus).

Pour minimiser le risque que représente ce type d'exploit, il est recommandé de mettre en place une solution d'antivirus pour la détection des malwares et aussi adopter les bonnes pratiques lors de la visite des sites suspects même s'ils sont en HTTPS. En effet ce protocole assure que les données soient chiffrées entre le serveur et le client mais ne garantit pas la légitimité de son contenu.