Wetshandhavingsinstanties hebben aangekondigd dat ze de klanten van de Smokeloader -malware hebben opgespoord en minstens vijf personen hebben vastgehouden.
“In een gecoördineerde reeks acties hebben klanten van de Smokeloader Pay-per-install Botnet, beheerd door de acteur die bekend staat als ‘Superstar’, geconfronteerd met de gevolgen zoals arrestaties, huiszoekopdrachten, arrestatiebevelen of ‘kloppen en gesprekken’,” zei Europol in een verklaring.
Superstar zou een pay-per-install-service hebben uitgevoerd waarmee haar klanten ongeautoriseerde toegang tot slachtoffermachines kunnen krijgen, waarbij de lader als leiding wordt gebruikt om de volgende fase payloads van hun keuze te implementeren.
Volgens de European Law Enforcement Agency werd de door de BOTNet verstrekte toegang gebruikt voor verschillende doeleinden, zoals keylogging, webcam -toegang, ransomware -implementatie en cryptocurrency -mining.
De nieuwste actie, onderdeel van een voortdurende gecoördineerde oefening genaamd Operation Endgame, die leidde tot de ontmanteling van online infrastructuur geassocieerd met meerdere malware -lader -bewerkingen zoals ICEDID, SystemBC, Pikabot, Smokeloader, Bumblebee en Trickbot vorig jaar.
Canada, de Tsjechische Republiek, Denemarken, Frankrijk, Duitsland, Nederland en de Verenigde Staten namen deel aan de vervolginspanning die bedoeld is om zich te concentreren op de “vraagzijde” van het cybercrime-ecosysteem.
Autoriteiten, per Europol, hebben de klanten opgespoord die waren geregistreerd in een database die eerder in beslag werd genomen, waardoor hun online persona’s werden gekoppeld aan mensen in het echte leven en ze belden voor ondervraging. Aangenomen wordt dat een niet -gespecificeerd aantal verdachten ervoor heeft gekozen om samen te werken en hun persoonlijke apparaten te laten onderzoeken om digitaal bewijs te verzamelen.
“Verschillende verdachten hebben de services door Smokeloader bij een markup doorgekocht, waardoor een extra rente wordt toegevoegd aan het onderzoek,” zei Europol. “Sommige verdachten hadden aangenomen dat ze niet langer op de radar van de politie waren, maar kwamen tot het harde besef dat ze nog steeds het doelwit waren.”
Malware -laders zijn er in verschillende vormen
De ontwikkeling komt als Breadcom-eigendom Symantec onthulde details van een phishing-campagne die gebruik maakt van het Windows Screensaver (SCR) -bestandsformaat om een Delphi-gebaseerde malware-lader met de naam Modiloader (aka Dbatloader en Natsoloader) te distribueren op machines van slachtoffers.
Het valt ook samen met een ontwijkende webcampagne die gebruikers misleidt om Malicious Windows Installer (MSI) -bestanden uit te voeren om een andere lader -malware te implementeren die Legion Loader wordt genoemd.
“Deze campagne maakt gebruik van een methode met de naam ‘Pastejacking’ of ‘klembordkaping’ omdat kijkers worden geïnstrueerd om inhoud in een run -venster te plakken,” zei Palo Alto Networks Unit 42, en voegt het toevoegen van verschillende cloaking -strategieën om detectie te ontwijken via Captcha -pagina’s en disguing malware -downloadpagina’s als blogsites.
Phishing-campagnes zijn ook een bezorgvoertuig voor KOI Loader, dat vervolgens wordt gebruikt om een informatie-stealer genaamd Koi Stealer te downloaden en uit te voeren als onderdeel van een multi-fasen infectiescène.
“Het gebruik van anti-VM-mogelijkheden door malware zoals Koi Loader en Koi Stealer benadrukt de mogelijkheid van moderne bedreigingen om analyse en detectie door analisten, onderzoekers en sandboxen te ontwijken,” zei Esentire in een rapport dat vorige maand werd gepubliceerd.
En dat is niet alles. De afgelopen maanden zijn opnieuw getuige geweest van de terugkeer van Gootloader (AKA Slowpour), die wordt verspreid via gesponsorde zoekresultaten op Google, een techniek die voor het eerst werd gespot in begin november 2024.
De aanval richt zich op gebruikers die op zoek zijn naar “niet -openbaarmakingsovereenkomstsjabloon” op Google om nep -advertenties te bedienen die, wanneer geklikt, worden doorgestuurd naar een site (“Lawliner (.) Com”) waar hen wordt gevraagd hun e -mailadressen in te voeren om het document te ontvangen.
“Kort nadat ze hun e -mail hebben ingevoerd, ontvangen ze een e -mail van Lawyer@Skhm (.) Org, met een link naar hun gevraagde Word -document (DOCX)”, aldus een beveiligingsonderzoeker die de naam GOOTLoader gaat en de malware -lader al enkele jaren nauwlettend in de gaten houdt.
“Als de gebruiker al zijn poorten heeft geslaagd, downloaden hij een zip -JavaScript -bestand. Wanneer de gebruiker het JavaScript -bestand uitpakt en uitvoert, treedt hetzelfde Gootloader -gedrag op.”
Ook Spot
“Aanvallers distribueren malware met behulp van gecompromitteerde bronnen, het injecteren van kwaadwillende JavaScript in kwetsbare sites voor vingerafdrukhosts, voeren subsidiabiliteitscontroles uit en geven nep -updatepagina’s weer,” zei Google. “De malware wordt vaak geleverd via drive-by downloads. De kwaadwillende JavaScript fungeert als een downloader en levert extra malware.”
Het aanvalspad van de nepbrowser-update is ook waargenomen om twee andere JavaScript-malwarefamilies te distribueren genaamd FakeMuggles, die zo is genoemd voor het gebruik van HTML-smokkelen om de volgende fase payloads te leveren, zoals NetSupport Manager, en Faketreff, die communiceert met een externe server om extra payloads zoals Darkate en Basic Host Information te leveren.
