آسیبپذیریهای Meltdown و Spectre توجه بسیاری از رسانهها و کاربران را به خود جلب کرده و از کاربران خواستهشده است تا دستگاههای خود را با اصلاحاتی که توسط فروشندگان مختلف ارائهشدهاند بهروزرسانی کنند.
درحالیکه برخی وصلهها در کنار حل برخی مسائل، زمینهساز مشکلات دیگری هستند، ما با یکی از انواع خاص وصلهها که یک کاربر را در کشور آلمان مورد هدف قرار داده بود مواجه شدیم. درواقع مقامات آلمانی اخیراً در مورد ایمیلهای فیشینگ که تلاش میکند که از همین اشکالات مخرب استفاده نماید هشدار دادهاند.
توجه: سایتهایی که از پروتکل HTTPS استفاده میکنند، لزوماً قابلاعتماد نیستند.
ما یک دامنه اخیراً ثبتشده را شناسایی کردیم که یک صفحه اطلاعات شامل لینکهای مختلف به منابع خارجی در رابطه با Meltdown و Spectre و نحوه تأثیر آن روی پردازندهها را ارائه میدهد. درحالیکه به نظر میرسد از دفتر فدرال امنیت آلمان (BSI) ارسالشده باشد ولی این سایت فیشینگ که پروتکل SSL برای آن فعالشده است، به هیچ نهاد قانونی یا دولتی وابسته نیست.
علاوه بر این همان دامنه جعلی پیوندی به فایل فشرده ZIP (Intel-AMD-SecurityPatch-11-01bsi.zip) حاوی بهاصطلاح وصله (Intel-AMD-SecurityPatch-10-1-v1.exe) دارد که درواقع بخشی از بدافزار است.
پس از اجرای آن، کاربران به smoke Loader که قسمتی از یک بدافزار است و میتواند Payload های اضافی را بازیابی نماید آلوده میشوند. ترافیک آلوده فایل خرابکار را که تلاش میکند به دامنههای مختلف متصل شده و اطلاعات رمزگذاری شده را ارسال کند، نشان میدهد.
فیلد Subject Alternative Name در داخل گواهی SSL که مورد سو استفاده قرارگرفته است، دیگر خصوصیات مربوط به دامنه bid.، ازجمله یک الگو آلمانی برای بهروزرسانی جعلی Adobe Flash Player را نشان میدهد.
ما بلافاصله با Comodo و CloudFlare تماس گرفتیم تا این سوءاستفاده را گزارش کنیم و در عرض چند دقیقه دیگر سایت بهواسطه پاسخ سریع CloudFlare، از دسترس خارج شد.
نکته مهم اینجاست که همواره باید هوشیار بود. بهویژه هنگامیکه درخواستهایی مبنی بر انجام اقداماتی نظیر تماس رایگان با مایکروسافت یا بهروزرسانی بخشی از یک نرمافزار ارائه شود؛ زیرا این احتمال وجود دارد که چنین درخواستهایی جعلی باشند و برای آلوده کردن شما یا کامپیوترتان تدارک دیدهشدهاند. موارد بسیار معدود قانونی وجود دارد که فروشندگان بهطور مستقیم با شما تماس میگیرند تا بهروزرسانیها اعمال شوند. درصورتیکه این مورد پیش بیاید، ابتدا این اطلاعات را از طریق سایر منابع آنلاین یا دوستانتان، بررسی کنید. همچنین، به یاد داشته باشید که سایتهایی که از پروتکل HTTPS استفاده میکنند، لزوماً قابلاعتماد نیستند. حضور گواهی تنها نشاندهنده این است که انتقال دادهها بین رایانه شما و سایت، بهطور ایمن جابجا میشود؛ اما هیچ ارتباطی با اهداف و محتوای ارائهشده که میتواند کلاً کلاهبرداری باشد، ندارد.
منبع: MalwareBytes
