Detecção de Malware SmokeLoader: Notório Carregador Ressurge para Alvo Empresas em Taiwan
Índice:
O nefasto malware SmokeLoader ressurge na arena de ameaças cibernéticas, visando empresas taiwanesas em múltiplos setores da indústria, incluindo manufatura, saúde e TI. Normalmente usado como um downloader para implantar outras amostras maliciosas, na campanha de ataque mais recente, o SmokeLoader executa o ataque diretamente ao recuperar plugins de seu servidor C2.
Detectar Malware SmokeLoader
Quase 100 milhões de novas variantes maliciosas foram detectadas exclusivamente em 2024, destacando o cenário de ameaças em constante crescimento. Para superar as ameaças existentes e emergentes, os profissionais de segurança podem contar com a Plataforma SOC Prime para defesa coletiva cibernética, oferecendo a maior biblioteca mundial de algoritmos de detecção respaldados por soluções inovadoras para detecção avançada de ameaças, caça automática de ameaças e engenharia de detecção equipada por IA.
Para acessar uma pilha dedicada de regras Sigma abordando os ataques mais recentes do SmokeLoader visando organizações taiwanesas, clique no Explorar Detecções botão abaixo. Todas as detecções estão alinhadas com MITRE ATT&CK® e fornecem um contexto aprofundado para pesquisa de ameaças cibernéticas, incluindo CTI e outros metadados relevantes. Engenheiros de segurança também podem converter o código de detecção em mais de 30 formatos de SIEM, EDR e Data Lake que correspondem às suas necessidades de segurança.
Além disso, defensores cibernéticos podem aprofundar-se nas táticas, técnicas e procedimentos (TTPs) associados aos ataques do SmokeLoader explorando regras de detecção relevantes acessíveis no Threat Detection Marketplace por meio das tags “AndeLoader,” “SmokeLoader”.
Engenheiros de segurança também podem aproveitar o Uncoder AI para agilizar o empacotamento de IOC e a análise retrospectiva dos TTPs dos adversários vistos nos ataques do SmokeLoader. Converta instantaneamente IOCs da respectiva pesquisa da Fortinet em consultas personalizadas compatíveis com vários idiomas de SIEM, EDR e Data Lake.
Análise de Ataque SmokeLoader
Pesquisadores do FortiGuard Labs recentemente descobriram uma nova campanha adversária contra organizações taiwanesas aproveitando o malware SmokeLoader. O SmokeLoader, que emergiu no cenário de ameaças cibernéticas em 2011, é notório por sua adaptabilidade e capacidades sofisticadas de evasão de detecção. O malware também é notável por sua arquitetura modular, que lhe permite executar vários ataques. Normalmente funcionando como um downloader para outras amostras maliciosas, na campanha ofensiva mais recente distribuindo o malware SmokeLoader, este último assume um papel mais ativo ao lançar o ataque por si mesmo e buscar plugins de seu servidor C2.
O notório carregador pertence ao kit de ferramentas adversário do grupo financeiramente motivado UAC-0006, que tem sido amplamente utilizado em múltiplas campanhas de phishing contra a Ucrânia ao longo de 2023-2024.
O fluxo de infecção na última campanha contra Taiwan começa com um e-mail de phishing entregando um anexo do Microsoft Excel. Quando aberto, o anexo explora vulnerabilidades conhecidas no Microsoft Office, como CVE-2017-0199 e CVE-2017-11882, para instalar um carregador de malware conhecido como Ande Loader, que subsequentemente implanta o SmokeLoader nos sistemas afetados.
O SmokeLoader compreende dois componentes principais: um stager e um módulo principal. O papel do stager é descriptografar, descomprimir e injetar o módulo principal no processo explorer.exe. O módulo principal então assume, garantindo persistência, estabelecendo comunicação com a infraestrutura C2 e executando comandos. Na campanha recentemente observada, o malware utiliza vários plugins capazes de extrair credenciais de login, informações de FTP, endereços de e-mail, cookies e outros dados sensíveis de aplicativos como navegadores web, Outlook, Thunderbird, FileZilla e WinSCP.
A alta adaptabilidade do SmokeLoader sublinha a necessidade de os defensores permanecerem vigilantes, mesmo ao lidar com malware bem conhecido. Para enfrentar esses desafios, a SOC Prime oferece um conjunto completo de produtos para engenharia de detecção equipada por IA, caça automática de ameaças e detecção avançada de ameaças, ajudando equipes de segurança a prevenir proativamente ataques cibernéticos de qualquer escala e sofisticação.
