از چاله به چاه: مراقب وصله‌های جعلی آسیب‌پذیری‌های Meltdown و Spectre باشید.

آسیب‌پذیری‌های Meltdown و Spectre توجه بسیاری از رسانه‌ها و کاربران را به خود جلب کرده و از کاربران خواسته‌شده است تا دستگاه‌های خود را با اصلاحاتی که توسط فروشندگان مختلف ارائه‌شده‌اند به‌روزرسانی کنند.

درحالی‌که برخی وصله‌ها در کنار حل برخی مسائل، زمینه‌ساز مشکلات دیگری هستند، ما با یکی از انواع خاص وصله‌ها که یک کاربر را در کشور آلمان مورد هدف قرار داده بود مواجه شدیم. درواقع مقامات آلمانی اخیراً در مورد ایمیل‌های فیشینگ که تلاش می‌کند که از همین اشکالات مخرب استفاده نماید هشدار داده‌اند.

توجه: سایت‌هایی که از پروتکل HTTPS استفاده می‌کنند، لزوماً قابل‌اعتماد نیستند.

ما یک دامنه اخیراً ثبت‌شده را شناسایی کردیم که یک صفحه اطلاعات شامل لینک‌های مختلف به منابع خارجی در رابطه با Meltdown و Spectre و نحوه تأثیر آن روی پردازنده‌ها را ارائه می‌دهد. درحالی‌که به نظر می‌رسد از دفتر فدرال امنیت آلمان (BSI) ارسال‌شده باشد ولی این سایت فیشینگ که پروتکل SSL برای آن فعال‌شده است، به هیچ نهاد قانونی یا دولتی وابسته نیست.

علاوه بر این همان دامنه جعلی پیوندی به فایل فشرده ZIP (Intel-AMD-SecurityPatch-11-01bsi.zip) حاوی به‌اصطلاح وصله (Intel-AMD-SecurityPatch-10-1-v1.exe) دارد که درواقع بخشی از بدافزار است.

پس از اجرای آن، کاربران به smoke Loader که قسمتی از یک بدافزار است و می‌تواند Payload های اضافی را بازیابی نماید آلوده می‌شوند. ترافیک آلوده فایل خرابکار را که تلاش می‌کند به دامنه‌های مختلف متصل شده و اطلاعات رمزگذاری شده را ارسال کند، نشان می‌دهد.

فیلد Subject Alternative Name در داخل گواهی SSL که مورد سو استفاده قرارگرفته است، دیگر خصوصیات مربوط به دامنه bid.، ازجمله یک الگو آلمانی برای به‌روزرسانی جعلی Adobe Flash Player را نشان می‌دهد.

 

ما بلافاصله با Comodo و CloudFlare تماس گرفتیم تا این سوءاستفاده را گزارش کنیم و در عرض چند دقیقه دیگر سایت به‌واسطه پاسخ سریع CloudFlare، از دسترس خارج شد.

نکته مهم اینجاست که همواره باید هوشیار بود. به‌ویژه هنگامی‌که درخواست‌هایی مبنی بر انجام اقداماتی نظیر تماس رایگان با مایکروسافت یا به‌روزرسانی بخشی از یک نرم‌افزار ارائه شود؛ زیرا این احتمال وجود دارد که چنین درخواست‌هایی جعلی باشند و برای آلوده کردن شما یا کامپیوترتان تدارک دیده‌شده‌اند. موارد بسیار معدود قانونی وجود دارد که فروشندگان به‌طور مستقیم با شما تماس می‌گیرند تا به‌روزرسانی‌ها اعمال شوند. درصورتی‌که این مورد پیش بیاید، ابتدا این اطلاعات را از طریق سایر منابع آنلاین یا دوستانتان، بررسی کنید. همچنین، به یاد داشته باشید که سایت‌هایی که از پروتکل HTTPS استفاده می‌کنند، لزوماً قابل‌اعتماد نیستند. حضور گواهی تنها نشان‌دهنده این است که انتقال داده‌ها بین رایانه شما و سایت، به‌طور ایمن جابجا می‌شود؛ اما هیچ ارتباطی با اهداف و محتوای ارائه‌شده که می‌تواند کلاً کلاه‌برداری باشد، ندارد.

 

منبع: MalwareBytes

از چاله به چاه: مراقب وصله‌های جعلی آسیب‌پذیری‌های Meltdown و Spectre باشید.