Taiwanese entiteiten in de productie-, gezondheidszorg- en informatietechnologiesectoren zijn het doelwit geworden van een nieuwe campagne waarbij de SmokeLoader-malware wordt verspreid.
“SmokeLoader staat bekend om zijn veelzijdigheid en geavanceerde ontwijkingstechnieken, en dankzij het modulaire ontwerp kan het een breed scala aan aanvallen uitvoeren”, aldus Fortinet FortiGuard Labs in een rapport gedeeld met The Hacker News.
“Hoewel SmokeLoader voornamelijk dient als downloader om andere malware af te leveren, voert het in dit geval de aanval zelf uit door plug-ins te downloaden van zijn (command-and-control) server.”
SmokeLoader, een malware-downloader die in 2011 voor het eerst werd geadverteerd op cybercriminaliteitsforums, is voornamelijk ontworpen om secundaire payloads uit te voeren. Bovendien beschikt het over de mogelijkheid om meer modules te downloaden die de eigen functionaliteit uitbreiden om gegevens te stelen, gedistribueerde denial-of-service (DDoS)-aanvallen uit te voeren en cryptocurrency te minen.
“SmokeLoader detecteert analyseomgevingen, genereert nep-netwerkverkeer en verduistert code om detectie te omzeilen en analyse te belemmeren”, aldus een uitgebreide analyse van de malware door Zscaler ThreatLabz.
“De ontwikkelaars van deze malwarefamilie hebben de mogelijkheden consequent verbeterd door nieuwe functies te introduceren en verduisteringstechnieken in te zetten om analyse-inspanningen te belemmeren.”
De SmokeLoader-activiteit daalde aanzienlijk na Operatie Endgame, een door Europol geleide inspanning waarbij eind mei 2024 de infrastructuur werd uitgeschakeld die verband hield met verschillende malwarefamilies zoals IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee en TrickBot.
Maar liefst 1.000 aan SmokeLoader gekoppelde C2-domeinen zijn ontmanteld en ruim 50.000 infecties zijn op afstand opgeschoond. Dat gezegd hebbende, wordt de malware nog steeds gebruikt door bedreigingsgroepen om ladingen te verspreiden via de nieuwe C2-infrastructuur.
Volgens Zscaler is dit grotendeels te wijten aan de talrijke gekraakte versies die publiekelijk beschikbaar zijn op internet.
Het startpunt van de nieuwste aanvalsketen die door FortiGuard Labs is ontdekt, is een phishing-e-mail met een Microsoft Excel-bijlage die, wanneer deze wordt gelanceerd, misbruik maakt van jarenlange beveiligingsfouten (bijvoorbeeld CVE-2017-0199 en CVE-2017-11882) om een malware loader genaamd Ande Loader, die vervolgens wordt gebruikt om SmokeLoader op de besmette host te implementeren.
SmokeLoader bestaat uit twee componenten: een stager en een hoofdmodule. Hoewel het doel van de stager het decoderen, decomprimeren en injecteren van de hoofdmodule in een explorer.exe-proces is, is de hoofdmodule verantwoordelijk voor het tot stand brengen van persistentie, het communiceren met de C2-infrastructuur en het verwerken van opdrachten.
De malware ondersteunt verschillende plug-ins die inlog- en FTP-gegevens, e-mailadressen, cookies en andere informatie uit webbrowsers, Outlook, Thunderbird, FileZilla en WinSCP kunnen stelen.
“SmokeLoader voert zijn aanval uit met zijn plug-ins in plaats van een voltooid bestand te downloaden voor de laatste fase”, aldus Fortinet. “Dit toont de flexibiliteit van SmokeLoader en benadrukt dat analisten voorzichtig moeten zijn, zelfs als ze naar bekende malware als deze kijken.”