Entidades taiwanesas nos setores de manufatura, saúde e tecnologia da informação têm se tornado alvo de uma nova campanha que distribui o malware SmokeLoader.
"O SmokeLoader é conhecido por sua versatilidade e técnicas avançadas de evasão, e seu design modular permite que ele realize uma ampla gama de ataques," disse o Fortinet FortiGuard Labs em um relatório compartilhado.
Embora o SmokeLoader sirva principalmente como um downloader para entregar outros malwares, neste caso, ele realiza o ataque por si só baixando plugins do seu servidor [command-and-control].
SmokeLoader, um downloader de malware anunciado pela primeira vez em fóruns de cybercrime em 2011, é projetado principalmente para executar payloads secundários.
Além disso, possui a capacidade de baixar mais módulos que aumentam sua própria funcionalidade para roubar dados, lançar ataques de distribuição de negação de serviço (DDoS) e minerar criptomoeda.
"O SmokeLoader detecta ambientes de análise, gera tráfego de rede falso e ofusca código para evitar detecção e dificultar a análise," uma análise extensiva do malware pela Zscaler ThreatLabz notou.
Os desenvolvedores desta família de malware têm consistentemente aprimorado suas capacidades introduzindo novos recursos e empregando técnicas de ofuscação para impedir esforços de análise.
A atividade do SmokeLoader sofreu um grande declínio após a Operação Endgame, um esforço liderado pela Europol que desmantelou a infraestrutura ligada a várias famílias de malwares como IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee e TrickBot no final de maio de 2024.
Até 1.000 domínios C2 ligados ao SmokeLoader foram desmantelados, e mais de 50.000 infecções foram limpas remotamente.
Dito isso, o malware continua sendo usado por grupos de ameaças para distribuir payloads através de nova infraestrutura C2.
Isso, segundo a Zscaler, deve-se em grande parte à numerosas versões crackeadas disponíveis publicamente na internet.
O ponto de partida da cadeia de ataque mais recente descoberta pelo FortiGuard Labs é um e-mail de phishing contendo um anexo do Microsoft Excel que, ao ser executado, explora falhas de segurança antigas (por exemplo,
CVE-2017-0199
e
CVE-2017-11882
) para soltar um carregador de malware chamado Ande Loader, que é então usado para implantar o SmokeLoader no host comprometido.
O SmokeLoader consiste em dois componentes: um estágio e um módulo principal.
Enquanto o propósito do estágio é descriptografar, descomprimir e injetar o módulo principal em um processo explorer.exe, o módulo principal é responsável por estabelecer persistência, comunicar-se com a infraestrutura C2 e processar comandos.
O malware suporta vários plugins que podem roubar credenciais de login e FTP, endereços de e-mail, cookies e outras informações de navegadores da web, Outlook, Thunderbird, FileZilla e WinSCP.
"O SmokeLoader realiza seu ataque com seus plugins em vez de baixar um arquivo completo para o estágio final," disse a Fortinet.
Isso mostra a flexibilidade do SmokeLoader e enfatiza que os analistas precisam ter cuidado mesmo ao olhar para malwares bem conhecidos como este.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...