在上週發表的一篇博文中指出,他們在過去的幾個月裡一直在追蹤一個新版本的Smoke Loader(一種可用於加載其他惡意軟件的惡意應用程序)。進一步的分析顯示,新版Smoke Loader已經在技術上取得了一定程度的進步,這包括PROPagate注入技術在惡意軟件中的被首次使用。
通常來講,Smoke Loader主要被其開發者用作下載程序,以下載和執行其他惡意軟件,如勒索軟件或加密貨幣礦工。另外,Smoke Loader的開發者還通過在惡意軟件論壇上發佈廣告,試圖向第三方出售利用Smoke Loader殭屍網絡來分發惡意軟件的服務。然而,Talos團隊發現這個新版本並沒有交付任何其他額外的可執行文件。
導致Smoke Loader出現這一改變的因素可能有兩個:一是,它可能已經不再像以前那樣受歡迎了,也就是說其服務並沒有得到第三方的租用;二是,對於這個版本而言,它可能被其開發者用於達成自己的一些目的。
新版Smoke Loader攜帶了多個插件,它們的目的都旨在竊取受害者的敏感信息,特別是針對了通過瀏覽器傳輸的敏感信息或在瀏覽器上存儲的憑證——包括Windows和Team Viewer憑證、電子郵箱登錄信息等。
和以往一樣,感染鏈從一封垃圾電子郵件和一個以Word文檔形式出現的惡意附件開始。毫無例外,這個Word文檔中包含了一個嵌入式宏,它的執行會導致惡意軟件Trickbot(一種已知的銀行木馬)的下載。
Trickbot木馬此次並沒有被用作最終執行惡意行為的有效載荷,而是作為下載程序來下載Smoke Loader木馬。而Smoke Loader木馬在被下載後會安裝另外五個插件,它們將嘗試從各種應用程序竊取憑證。以下是關於每個插件的介紹:
其中,第一個插件大約包含2000個函數。它包含一個靜態鏈接的SQLite庫,用於讀取本地數據庫文件。針對的目標是Firefox、Internet Explorer、Chrome、Opera、QQ Browser,、Outlook和Thunderbird等瀏覽器,以竊取主機名,用戶名和密碼數據。此外,它還會嘗試從Windows憑據管理器(vaultcli.dll)以及POP3、SMTP、IMAP中竊取信息。
第二個插件以遞歸方式搜索目錄,以查找要解析和竊取的文件。這包括:Outlook、*.pst、*.ost、Thunderbird、*.mab、*.msf、inbox、sent、templates、drafts、archives、The Bat!、*.tbb、*.tbn和*.abd。
當憑證和cookie通過HTTP和HTTPS傳輸時,第三個插件將注入瀏覽器以攔截它們。第四個插件掛鉤到ws2_32!send和ws2_32!WSASend,試圖竊取ftp、smtp、pop3和imap的憑證。而第五個插件會將代碼注入到TeamViewer.exe中,以竊取憑證。
木馬和殭屍網絡市場正在不斷地發生著變化,而攻擊者也在不斷地提高他們的惡意軟件的質量。攻擊者試圖通過利用更新、更有效的技術來增強其惡意軟件繞過安全檢測的能力,這也很清楚地表明瞭,確保我們所使用的所有系統都處於最新版本的重要性。
閱讀更多 網絡安全晴雨表 的文章
