Эксперты Cisco Talos сообщили о новых атаках с применением Smoke Loader. Этот загрузчик используется для доставки зловредного ПО, например криптомайнеров, на компьютеры пользователей. Теперь преступники пытаются с его помощью красть персональные данные.

По информации аналитиков, атака носит многоступенчатый характер и начинается с вредоносного электронного письма. В отчете приводится пример такого сообщения, в котором адресата просят открыть приложенный Word‑документ — якобы счет от британской IT-компании.

Если жертва сделает это и активирует встроенный макрос, тот загрузит уже известный специалистам зловред Trickbot, который в свою очередь доставит на машину Smoke Loader. В текущей кампании вместо дополнительной полезной нагрузки даунлоудер получает пять вредоносных плагинов, каждый из которых нацелен на определенный тип конфиденциальной информации.

Эксперты уточняют, что целью операторов Smoke Loader являются файлы cookies, логины и пароли для доступа к Windows, системе удаленного доступа TeamViewer и электронной почте, а также данные, передающиеся через протоколы HTTP, HTTPS, FTP, SMTP, POP3 и IMAP. Кроме того, зловред умеет сканировать пользовательские папки в поисках файлов нужного формата. У самого крупного плагина исследователи насчитали более 2 тыс. шпионских функций.

По словам авторов отчета, ранее владельцы ботнетов на основе Smoke Loader продавали услуги по распространению с его помощью чужого зловредного ПО. Такие объявления можно было увидеть на форумах киберпреступников. Сейчас же отсутствие сторонней полезной нагрузки позволяет предположить, что этот загрузчик потерял популярность или используется в неких персональных целях.

Авторы Smoke Loader постоянно дорабатывают код, добавляя трояну новые функции и меняя тактику вслед за эволюцией антивирусных систем. Аналитики обнаружили в последней вариации Smoke Loader ряд технических инноваций, направленных на обход антивирусных систем и затруднение анализа. Так, разработчики использовали инъекции PROPagate, которые впервые были замечены в наборе эксплойтов RIG всего несколько дней назад. Эта техника позволяет встраивать вредоносный код в приложения Windows, в частности служебный процесс explorer.exe («Проводник»), чтобы вести зловредную активность от их лица.

Специалисты также нашли в загрузчике целый набор средств маскировки и запутывания следов, позволяющих ему несколько раз обфусцировать и деобфусцировать код. В результате вредонос может обмануть штатные антивирусные сканеры и на протяжении долгого времени оставаться вне поля их зрения.

В качестве защитных мер эксперты рекомендуют не пропускать обновления безопасности и с осторожностью относиться к письмам c незнакомых адресов.

Категории: Вредоносные программы, Главное, Спам