Les entités taïwanaises des secteurs de la fabrication, de la santé et des technologies de l’information sont devenues la cible d’une nouvelle campagne diffusant le malware SmokeLoader.

« SmokeLoader est bien connu pour sa polyvalence et ses techniques d’évasion avancées, et sa conception modulaire lui permet d’effectuer une large gamme d’attaques », a déclaré Fortinet FortiGuard Labs dans un rapport partagé avec The Hacker News.

« Alors que SmokeLoader sert principalement de téléchargeur pour diffuser d’autres logiciels malveillants, dans ce cas, il effectue lui-même l’attaque en téléchargeant des plugins depuis son serveur [de commande et de contrôle] ».

SmokeLoader , un téléchargeur de malwares annoncé pour la première fois sur les forums de cybercriminalité en 2011, est principalement conçu pour exécuter des charges utiles secondaires. De plus, il possède la capacité de télécharger davantage de modules qui augmentent ses propres fonctionnalités pour voler des données, lancer des attaques par déni de service distribué (DDoS) et miner des cryptomonnaies.

« SmokeLoader détecte les environnements d’analyse, génère du faux trafic réseau et obscurcit le code pour échapper à la détection et entraver l’analyse », a noté une analyse approfondie du malware par Zscaler ThreatLabz .

« Les développeurs de cette famille de logiciels malveillants ont constamment amélioré ses capacités en introduisant de nouvelles fonctionnalités et en utilisant des techniques d’obscurcissement pour entraver les efforts d’analyse. »

L’activité de SmokeLoader a subi une baisse majeure après l’opération Endgame , un effort mené par Europol qui a démantelé l’infrastructure liée à plusieurs familles de logiciels malveillants tels que IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee et TrickBot fin mai 2024.

Jusqu’à 1 000 domaines C2 liés à SmokeLoader ont été démantelés et plus de 50 000 infections ont été nettoyées à distance. Cela étant dit, le malware continue d’être utilisé par les groupes de menaces pour distribuer des charges utiles via la nouvelle infrastructure C2.

Cela est dû en grande partie, selon Zscaler , aux nombreuses versions crackées disponibles publiquement sur Internet.

Le point de départ de la dernière chaîne d’attaque découverte par FortiGuard Labs est un e-mail de phishing contenant une pièce jointe Microsoft Excel qui, une fois lancée, exploite des failles de sécurité vieilles de plusieurs années (par exemple, CVE-2017-0199 et CVE-2017-11882 ) pour déposer un chargeur de malware appelé Ande Loader , qui est ensuite utilisé pour déployer SmokeLoader sur l’hôte compromis.

SmokeLoader se compose de deux composants : un stager et un module principal. Alors que le but du stager est de décrypter, de décompresser et d’injecter le module principal dans un processus explorer.exe, le module principal est responsable de l’établissement de la persistance, de la communication avec l’infrastructure C2 et du traitement des commandes.

Le logiciel malveillant prend en charge plusieurs plugins qui peuvent voler les informations de connexion et les identifiants FTP, les adresses e-mail, les cookies et d’autres informations des navigateurs Web, Outlook, Thunderbird, FileZilla et WinSCP.

« SmokeLoader effectue son attaque avec ses plugins au lieu de télécharger un fichier complet pour l’étape finale », a déclaré Fortinet. « Cela montre la flexibilité de SmokeLoader et souligne que les analystes doivent être prudents même lorsqu’ils examinent des malwares bien connus comme celui-ci. »