Новая атака показала, что порой модули опаснее, чем сам вирус.
Схема атаки
В сентябре 2024 года исследователи FortiGuard Labs выявили атаку с использованием вредоносной программы SmokeLoader на компании в Тайване. Под удар попали организации из сферы производства, здравоохранения, IT и других отраслей. SmokeLoader известен своей гибкостью: он может загружать дополнительное вредоносное ПО или сам выполнять сложные атаки благодаря модульной структуре.
Атака начиналась с фишинговых писем. Злоумышленники отправляли сообщения с вложенным файлом, который выдавали за коммерческое предложение. Письма выглядели правдоподобно, используя местные выражения, но имели признаки массовой рассылки: одинаковое имя получателя в разных письмах и отличия в оформлении подписи и контактной информации.
Для заражения использовались две уязвимости Microsoft Office. Первая, CVE-2017-0199 (оценка CVSS: 7.8), позволяла автоматически загружать вредоносный файл при открытии документа. Вторая, CVE-2017-11882 (оценка CVSS: 7.8), позволяла злоумышленникам запускать код на компьютере жертвы через встроенный редактор формул. Совокупность данных ошибок сделала атаку эффективной и трудной для обнаружения.
Следующий этап атаки включал использование HTA-файлов с закодированными скриптами, которые расшифровывали команды и запускали PowerShell, чтобы загрузить новый вредоносный компонент — AndeLoader. Этот загрузчик расшифровывал данные, закодированные в изображении, и извлекал основной вредоносный модуль.
SmokeLoader применял 9 разных плагинов для выполнения своих задач. Среди них были модули, которые похищали пароли, данные из браузеров, почтовых клиентов и FTP-программ. Например, один из плагинов перехватывал нажатия клавиш (кейлоггинг) и данные из буфера обмена, другой удалял cookie-файлы в браузерах, чтобы заставить пользователя повторно вводить пароли. Плагины также собирали данные из Firefox, Chrome, Outlook, Thunderbird и FileZilla, и передавали их на сервер злоумышленников.
Каждый плагин был настроен на выполнение определённых задач. Некоторые модули специально адаптировались для работы с браузерами, удаляя данные или добавляя перехватчики для сбора информации. Особую опасность представляла способность программы сохранять своё присутствие на заражённом устройстве. Один из модулей автоматически запускался при включении компьютера, обеспечивая хакерам постоянный доступ.
Аналитики подчеркивают, что SmokeLoader — это сложный инструмент, который может адаптироваться под разные сценарии атак. В данном случае вредонос показал, как модули могут быть эффективнее, чем готовые вирусы.
Схема атаки
Атака начиналась с фишинговых писем. Злоумышленники отправляли сообщения с вложенным файлом, который выдавали за коммерческое предложение. Письма выглядели правдоподобно, используя местные выражения, но имели признаки массовой рассылки: одинаковое имя получателя в разных письмах и отличия в оформлении подписи и контактной информации.
Для заражения использовались две уязвимости Microsoft Office. Первая, CVE-2017-0199 (оценка CVSS: 7.8), позволяла автоматически загружать вредоносный файл при открытии документа. Вторая, CVE-2017-11882 (оценка CVSS: 7.8), позволяла злоумышленникам запускать код на компьютере жертвы через встроенный редактор формул. Совокупность данных ошибок сделала атаку эффективной и трудной для обнаружения.
Следующий этап атаки включал использование HTA-файлов с закодированными скриптами, которые расшифровывали команды и запускали PowerShell, чтобы загрузить новый вредоносный компонент — AndeLoader. Этот загрузчик расшифровывал данные, закодированные в изображении, и извлекал основной вредоносный модуль.
SmokeLoader применял 9 разных плагинов для выполнения своих задач. Среди них были модули, которые похищали пароли, данные из браузеров, почтовых клиентов и FTP-программ. Например, один из плагинов перехватывал нажатия клавиш (кейлоггинг) и данные из буфера обмена, другой удалял cookie-файлы в браузерах, чтобы заставить пользователя повторно вводить пароли. Плагины также собирали данные из Firefox, Chrome, Outlook, Thunderbird и FileZilla, и передавали их на сервер злоумышленников.
Каждый плагин был настроен на выполнение определённых задач. Некоторые модули специально адаптировались для работы с браузерами, удаляя данные или добавляя перехватчики для сбора информации. Особую опасность представляла способность программы сохранять своё присутствие на заражённом устройстве. Один из модулей автоматически запускался при включении компьютера, обеспечивая хакерам постоянный доступ.
Аналитики подчеркивают, что SmokeLoader — это сложный инструмент, который может адаптироваться под разные сценарии атак. В данном случае вредонос показал, как модули могут быть эффективнее, чем готовые вирусы.