______________________________________________________________________________________________________________

HackFix.ru - информационный портал,рассказывающий о событиях в области защиты информации,
взломах,инструментах аудита,программировании для пентестеров!

Загрузчик Smoke Loader научился шпионить за пользователями

Эксперты Cisco Talos сообщили о новых атаках с применением Smoke Loader. Этот загрузчик используется для доставки зловредного ПО, например криптомайнеров, на компьютеры пользователей. Теперь преступники пытаются с его помощью красть персональные данные.

По информации аналитиков, атака носит многоступенчатый характер и начинается с вредоносного электронного письма. В отчете приводится пример такого сообщения, в котором адресата просят открыть приложенный Word‑документ — якобы счет от британской IT-компании.

Если жертва сделает это и активирует встроенный макрос, тот загрузит уже известный специалистам зловред Trickbot, который в свою очередь доставит на машину Smoke Loader. В текущей кампании полезную нагрузку трояна составляют сразу пять вредоносных плагинов, каждый из которых нацелен на определенный тип конфиденциальной информации.

Эксперты уточняют, что целью взломщиков являются файлы cookies, логины и пароли для доступа к Windows, системе удаленного доступа TeamViewer и электронной почте, а также данные, передающиеся через протоколы HTTP, HTTPS, FTP, SMTP, POP3 и IMAP. Кроме того, зловред умеет сканировать пользовательские папки в поисках файлов нужного формата. У самого крупного плагина исследователи насчитали более 2 тыс. шпионских функций.

По словам авторов отчета, ранее владельцы ботнетов на основе Smoke Loader продавали услуги по распространению с его помощью чужого зловредного ПО. Такие объявления можно было увидеть на форумах киберпреступников. Сейчас же отсутствие сторонних компонентов позволяет предположить, что этот загрузчик потерял популярность или используется в неких персональных целях.

Авторы Smoke Loader постоянно дорабатывают код, добавляя загрузчику новые функции и меняя тактику вслед за эволюцией антивирусных систем. Аналитики обнаружили в последней вариации трояна ряд технических инноваций, направленных на избегание антивирусных систем и затруднение расследования атак. Так, разработчики использовали алгоритм PROPagate, который впервые был замечен в наборе эксплойтов RIG всего несколько дней назад. Эта техника позволяет встраивать вредоносный код в приложения Windows, в частности служебный процесс explorer.exe (“Проводник”), чтобы вести зловредную активность от их лица.

Специалисты также нашли в загрузчике целый набор средств маскировки и запутывания следов, позволяющих ему несколько раз обфусцировать и деобфусцировать код. В результате вредонос может обмануть штатные антивирусные сканеры и на протяжении долгого времени оставаться вне поля их зрения.

В качестве защитных мер эксперты рекомендуют не пропускать обновления безопасности и с осторожностью относиться к письмам c незнакомых адресов.

источник

Добавить комментарий

Ваш e-mail не будет опубликован.

______________________________________________________________________________________________________________
^ Наверх