Serviciul Tehnologia Informației și Securitate Cibernetică informează despre o nouă amenințare cibernetică, Smoke Loader Backdoor

Backdoor-ul Smoke Loader, cunoscut și sub numele de SmokeBot reprezintă un program malware de tip „loader” modular care este utilizat ca vector initial de infecție, conceput pentru a ocoli sistemele de securitate a punctelor țintă/victimelor în scopul descărcării și executării, ulterioare, a unui sau mai multor payload-uri malițioase. De la lansarea inițială, în 2011, Smoke Loader a continuat să evolueze prin adăugarea de noi tehnici anti-analiză complexe.

În mod obișnuit, programele malware de acest tip comunică cu infrastructurile de comandă și control (C&C) pentru a primi instrucțiuni de execuție și pentru a descărca module funcționale suplimentare, oferind mai multe etape ale infecției sistemului.

Modul de funcționare:

În prezent, metoda principală de livrare a malware-ului Smoke Loader este prin intermediul kiturilor de exploatare (exploit kits), în principal Rig EK. Smoke Loader este utilizat, în mod obișnuit,  pentru a încărca și executa troianul bancar TrickBot și ransomware-ul Globe lmposter, însă sarcina utilă poate varia, de asemenea au fost înregistrate și XMR Miner, ransomware-ul Avaddon, troian-ul njRAT.

Există două căi principale de execuție a malware-ului Smoke Loader, programul de instalare și încărcătorul (the loader).  Programul de instalare rulează înainte de apariția infecției și se injectează într-o nouă instanță a unui proces Windows Explorer. Ulterior, încărcătorul rulează și execută funcționalitatea de bază a modulului. În timpul instalării Smoke Loader efectuează mai multe verificări pentru a determina informații despre sistemul pe care rulează.

Odată ce a avut loc infecția cu malware, fluxul de execuție a încărcătorului urmărit în Explorer este utilizat pentru asigurarea persistenței acestuia pe mașina infectată. De asemenea, este creat un proces de mapare a fișierelor (file mapping) utilizat pentru a asigura o forma de comunicare între fișiere, partajând astfel informațiile. Smoke Loader utilizează apelul API VirtualProtect pentru a crea noi secțiuni și pentru a schimba protecția regiunii de memorie alocată din sistemul afectat.

Pentru a verifica conexiunea la internet, Smoke Loader conține funcționalitatea de a genera trafic fals, iar în cazul în care verificarea respectivă este reușită aceasta este transmisă la infrastructura de comandă și control. Pentru a fi asigurată persistența malware-ului la repornirea sistemului, Smoke Loader creează o copie a acestuia în “%APPDATA%\Microsoft\[random folder name]\[random file name]” împreună cu extensie .exe, de asemenea este creată apoi o cheie de registru pentru pornirea automată a acestui, fiind monitorizată pentru ulterioare modificări. Acest mecanism de persistență este comun și utilizat de mai multe familii de malware.

Impact:

Malware-ul Smoke Loader este utilizat, în mod obișnuit, pentru a încărca și executa programe malware suplimentare, cum ar fi ransomware sau criptomining. Acestea au scopul de compromite sistemele afectate și a utiliza resursele acestora, de a sustrage informații sensibile, de a distribui malware, etc.

Numele de detecție:

• Microsoft – Trojan:Win32/Dynamer!ac;
• Avast – Win32/ Trojan gen;
• BitDefender - Gen: Variant.Symmit67297;
• ESET-NOD32 – Win32/TrojanDownloader.Zurgop.CB;
• Kaspersky – Trojan.Win32.Sharik.xig;

Lista completă poate fi vizualizată accesând următorul link: VirusTotal

Metode de prevenire:

Metodele comune prin care sistemele se infectează cu Smoke Loader sunt accesarea atașamentelor de e-mail malițioase, ingineria socială, descărcarea programelor și plugin-urilor din surse dubioase. Pentru a preveni infecția STISC vine cu următoarele recomandări:

• Utilizați o soluție antivirus și actualizați-o în mod regulat;
• Mențineți browser-ul la zi și aplicați corecții de securitate;
• Actualizați toate aplicațiile și instalați cele mai noi update-uri pentru sistemul de operare;
• Nu deschideți atașamente și nu faceți clic pe link-urile din email-uri și mesaje necunoscute sau spam. Un e-mail poate conține o imagine sau link, care la accesare ar putea direcționa utilizatorul pe un site malițios;
• Alegeți cu atenție și din surse oficiale/ de încredere aplicațiile și plugin-urile ce le descărcați;
• Monitorizați activitatea rețelei, utilizați un firewall pentru a urmări activitatea de intrare și ieșire din diverse aplicații instalate pe calculatorul dvs.;
• Familiarizați-vă cu schemele comune de inginerie socială;
• Schimbați parolele implicite și activați autentificarea cu doi factori pentru conturile și sistemele dvs.;
• Nu acordați privilegii de administrator aplicațiilor care nu inspiră încredere;
• Faceți copii de siguranță în mod regulat a datelor aflate pe dispozitivele de calcul stocându-le pe un disc separat sau cloud.