Entidades taiwanesas nos setores de manufatura, saúde e tecnologia da informação têm se tornado alvo de uma nova campanha que distribui o malware SmokeLoader.
"O SmokeLoader é conhecido por sua versatilidade e técnicas avançadas de evasão, e seu design modular permite que ele realize uma ampla gama de ataques," disse o Fortinet FortiGuard Labs em um relatório compartilhado.
Embora o SmokeLoader sirva principalmente como um downloader para entregar outros malwares, neste caso, ele realiza o ataque por si só baixando plugins do seu servidor [command-and-control].
SmokeLoader, um downloader de malware anunciado pela primeira vez em fóruns de cybercrime em 2011, é projetado principalmente para executar payloads secundários.
Além disso, possui a capacidade de baixar mais módulos que aumentam sua própria funcionalidade para roubar dados, lançar ataques de distribuição de negação de serviço (DDoS) e minerar criptomoeda.
"O SmokeLoader detecta ambientes de análise, gera tráfego de rede falso e ofusca código para evitar detecção e dificultar a análise," uma análise extensiva do malware pela Zscaler ThreatLabz notou.
Os desenvolvedores desta família de malware têm consistentemente aprimorado suas capacidades introduzindo novos recursos e empregando técnicas de ofuscação para impedir esforços de análise.
A atividade do SmokeLoader sofreu um grande declínio após a Operação Endgame, um esforço liderado pela Europol que desmantelou a infraestrutura ligada a várias famílias de malwares como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot no final de maio de 2024.
Até 1.000 domínios C2 ligados ao SmokeLoader foram desmantelados, e mais de 50.000 infecções foram limpas remotamente.
Dito isso, o malware continua sendo usado por grupos de ameaças para distribuir payloads através de nova infraestrutura C2.
Isso, segundo a Zscaler, deve-se em grande parte à numerosas versões crackeadas disponíveis publicamente na internet.
O ponto de partida da cadeia de ataque mais recente descoberta pelo FortiGuard Labs é um e-mail de phishing contendo um anexo do Microsoft Excel que, ao ser executado, explora falhas de segurança antigas (por exemplo,
CVE-2017-0199
e
CVE-2017-11882
) para soltar um carregador de malware chamado Ande Loader, que é então usado para implantar o SmokeLoader no host comprometido.
O SmokeLoader consiste em dois componentes: um estágio e um módulo principal.
Enquanto o propósito do estágio é descriptografar, descomprimir e injetar o módulo principal em um processo explorer.exe, o módulo principal é responsável por estabelecer persistência, comunicar-se com a infraestrutura C2 e processar comandos.
O malware suporta vários plugins que podem roubar credenciais de login e FTP, endereços de e-mail, cookies e outras informações de navegadores da web, Outlook, Thunderbird, FileZilla e WinSCP.
"O SmokeLoader realiza seu ataque com seus plugins em vez de baixar um arquivo completo para o estágio final," disse a Fortinet.
Isso mostra a flexibilidade do SmokeLoader e enfatiza que os analistas precisam ter cuidado mesmo ao olhar para malwares bem conhecidos como este.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...