Entitas Taiwan di sektor manufaktur, layanan kesehatan, dan teknologi informasi telah menjadi target kampanye baru yang mendistribusikan malware SmokeLoader.
“SmokeLoader terkenal karena keserbagunaan dan teknik penghindarannya yang canggih, dan desain modularnya memungkinkannya melakukan berbagai macam serangan,” kata Fortinet FortiGuard Labs dalam laporan yang dibagikan kepada The Hacker News.
“Meskipun SmokeLoader terutama berfungsi sebagai pengunduh untuk mengirimkan malware lain, dalam kasus ini, SmokeLoader melakukan serangan itu sendiri dengan mengunduh plugin dari perangkat lunak perusaknya. [command-and-control] pelayan.”
SmokeLoader, pengunduh malware yang pertama kali diiklankan di forum kejahatan dunia maya pada tahun 2011, dirancang khusus untuk mengeksekusi muatan sekunder. Selain itu, ia memiliki kemampuan untuk mengunduh lebih banyak modul yang menambah fungsinya untuk mencuri data, meluncurkan serangan penolakan layanan terdistribusi (DDoS), dan menambang mata uang kripto.
“SmokeLoader mendeteksi lingkungan analisis, menghasilkan lalu lintas jaringan palsu, dan mengaburkan kode untuk menghindari deteksi dan menghalangi analisis,” analisis ekstensif malware oleh Zscaler ThreatLabz mencatat.
“Para pengembang keluarga malware ini secara konsisten meningkatkan kemampuannya dengan memperkenalkan fitur-fitur baru dan menggunakan teknik kebingungan untuk menghambat upaya analisis.”
Aktivitas SmokeLoader mengalami penurunan besar setelah Operasi Endgame, upaya yang dipimpin Europol yang menghancurkan infrastruktur yang terkait dengan beberapa keluarga malware seperti IcedID, SystemBC, PikaBot, SmokeLoader, Bumblebee, dan TrickBot pada akhir Mei 2024.
Sebanyak 1.000 domain C2 yang terhubung dengan SmokeLoader telah dibongkar, dan lebih dari 50.000 infeksi telah dibersihkan dari jarak jauh. Meskipun demikian, malware tersebut terus digunakan oleh kelompok ancaman untuk mendistribusikan muatan melalui infrastruktur C2 baru.
Hal ini, menurut Zscaler, sebagian besar disebabkan oleh banyaknya versi crack yang tersedia untuk umum di internet.
Titik awal dari rantai serangan terbaru yang ditemukan oleh FortiGuard Labs adalah email phishing yang berisi lampiran Microsoft Excel yang, ketika diluncurkan, mengeksploitasi kelemahan keamanan yang sudah berumur bertahun-tahun (misalnya, CVE-2017-0199 dan CVE-2017-11882) untuk menjatuhkan a pemuat malware yang disebut Ande Loader, yang kemudian digunakan untuk menyebarkan SmokeLoader pada host yang disusupi.
SmokeLoader terdiri dari dua komponen: stager dan modul utama. Meskipun tujuan stager adalah untuk mendekripsi, mendekompresi, dan memasukkan modul utama ke dalam proses explorer.exe, modul utama bertanggung jawab untuk membangun persistensi, berkomunikasi dengan infrastruktur C2, dan memproses perintah.
Malware ini mendukung beberapa plugin yang dapat mencuri login dan kredensial FTP, alamat email, cookie, dan informasi lainnya dari browser web, Outlook, Thunderbird, FileZilla, dan WinSCP.
“SmokeLoader melakukan serangannya dengan pluginnya alih-alih mengunduh file yang sudah selesai untuk tahap akhir,” kata Fortinet. “Ini menunjukkan fleksibilitas SmokeLoader dan menekankan bahwa analis harus berhati-hati bahkan ketika melihat malware terkenal seperti ini.”
