Malafide e-mail over Spectre en Meltdown verspreidt malware

[Captain Kirk]

Aanvallers hebben e-mails verstuurd die van de Duitse overheid afkomstig lijken en voor de Spectre- en Meltdown-aanvallen waarschuwen, maar in werkelijkheid malware verspreiden. Het bericht heeft als onderwerp "Kritische Sicherheitslücke - Wichtiges Update" en zou van het Bundesamt für Sicherheit in der Informationstechnik (BSI), onderdeel van het Duitse ministerie van Binnenlandse Zaken, afkomstig zijn.

Het BSI is de overheidsinstantie die in Duitsland beveiligingsadvies uitbrengt en voor allerlei kwetsbaarheden waarschuwt. De e-mail waarschuwt ontvangers voor Spectre en Meltdown en stelt dat de beschikbaar gemaakte update zo snel als mogelijk moet worden geïnstalleerd. Hiervoor bevat de e-mail een link naar een website.

De aanvallers hebben de website van het BSI nagemaakt en bieden daarop een bestand aan dat zogenaamd een beveiligingsupdate is. In werkelijkheid gaat het om malware die computer en smartphone kan infecteren, aldus het echte BSI. De organisatie waarschuwt dat beveiligingsupdates nooit via e-mail worden verspreid. Op de dag dat Spectre en Meltdown bekend werden adviseerde het BSI om de updates die tegen de aanvallen beschermen zo snel als mogelijk te installeren.

Anti-malwarebedrijf Malwarebytes maakte een analyse van de aanval. De malafide website biedt een zip-bestand aan genaamd Intel-AMD-SecurityPatch-11-01bsi.zip, dat de zogenaamde patch met de naam Intel-AMD-SecurityPatch-10-1-v1.exe bevat. Het gaat hier om de malware genaamd "Smoke Loader" die aanvallers volledige controle over het systeem geeft en aanvullende malware-modules installeert.

 

 

bron: security.nl