Контакты
Подписка 2025
ТБ Форум 2025
Кибербезопасность. Защита АСУ ТП. Безопасность КИИ. Москва | 11 февраля | ТБ Форум 2025
Регистрируйтесь и приходите!

Вирус SmokeLoader использует плагины для достижения большего разрушительного эффекта

04/12/24

hack41

В сентябре 2024 года исследователи FortiGuard Labs выявили атаку с использованием вредоносной программы SmokeLoader на компании в Тайване. Под удар попали организации из сферы производства, здравоохранения, IT и других отраслей. SmokeLoader известен своей гибкостью: он может загружать дополнительное вредоносное ПО или сам выполнять сложные атаки благодаря модульной структуре, пишет Securitylab.

Атака начиналась с фишинговых писем. Злоумышленники отправляли сообщения с вложенным файлом, который выдавали за коммерческое предложение. Письма выглядели правдоподобно, используя местные выражения, но имели признаки массовой рассылки: одинаковое имя получателя в разных письмах и отличия в оформлении подписи и контактной информации.

Для заражения использовались две уязвимости Microsoft Office. Первая, CVE-2017-0199 (оценка CVSS: 7.8), позволяла автоматически загружать вредоносный файл при открытии документа. Вторая, CVE-2017-11882 (оценка CVSS: 7.8), позволяла злоумышленникам запускать код на компьютере жертвы через встроенный редактор формул. Совокупность данных ошибок сделала атаку эффективной и трудной для обнаружения.

Следующий этап атаки включал использование HTA-файлов с закодированными скриптами, которые расшифровывали команды и запускали PowerShell, чтобы загрузить новый вредоносный компонент — AndeLoader. Этот загрузчик расшифровывал данные, закодированные в изображении, и извлекал основной вредоносный модуль.

SmokeLoader применял 9 разных плагинов для выполнения своих задач. Среди них были модули, которые похищали пароли, данные из браузеров, почтовых клиентов и FTP-программ. Например, один из плагинов перехватывал нажатия клавиш (кейлоггинг) и данные из буфера обмена, другой удалял cookie-файлы в браузерах, чтобы заставить пользователя повторно вводить пароли. Плагины также собирали данные из Firefox, Chrome, Outlook, Thunderbird и FileZilla, и передавали их на сервер злоумышленников.

Каждый плагин был настроен на выполнение определённых задач. Некоторые модули специально адаптировались для работы с браузерами, удаляя данные или добавляя перехватчики для сбора информации. Особую опасность представляла способность программы сохранять своё присутствие на заражённом устройстве. Один из модулей автоматически запускался при включении компьютера, обеспечивая хакерам постоянный доступ.

Аналитики подчеркивают, что SmokeLoader — это сложный инструмент, который может адаптироваться под разные сценарии атак. В данном случае вредонос показал, как модули могут быть эффективнее, чем готовые вирусы. Для защиты от таких угроз Fortinet советует обновлять системы безопасности, использовать антивирус и обучать сотрудников, чтобы вовремя распознавать фишинговые атаки.

Темы:ПреступлениятрояныMicrosoft OfficeплагиныFortiGuard
Безопасная разработка
Подходы и инструменты управления процессом разработки безопасного программного обеспечения
Регистрируйтесь и приходите! 13 февраля 2025

Участвуйте в проектах

редакции журнала
"Информационная безопасность" 

КАЛЕНДАРЬ МЕРОПРИЯТИЙ 2024
ПОСЕТИТЬ МЕРОПРИЯТИЯ
ВЫСТУПИТЬ НА КОНФЕРЕНЦИЯХ
СТАТЬ АВТОРОМ
ТБ Форум
Актуальные вопросы защиты информации
12 февраля 2025 | Организатор: ФСТЭК России

Еще темы...

More...