Segurança

1 ago, 2018

Alerta de ameaças: dissecando o malware reaparecido Smoke Loader

Publicidade

Overview

O malware Smoke Loader (Dofoil), identificado pela primeira vez em 2011, retornou recentemente às manchetes. Essa ameaça, que muitas vezes serve de plataforma para baixar malwares adicionais, foi atualizada com os novos métodos de introdução de processos divulgados em 2017. Em março de 2018, o malware foi alterado para contornar as novas medidas implantadas pela Microsoft. Isso indica que os usuários do Smoke Loader estão dedicados a investir tempo e recursos para manter a ameaça viável.

A equipe de pesquisa de ameaças da Cylance dissecou recentemente uma forma ressurgente do Smoke Loader. Nossa investigação descobriu duas outras amostras de malware trabalhando com o Smoke Loader: um documento repleto de macros maliciosas e o Trickbot, um trojan bancário.

A seguir, uma visão geral técnica detalhando o que nossa pesquisa descobriu.

Análise técnica

A primeira etapa do ataque depende de um usuário abrir e ativar um documento carregado com macros maliciosas. Uma vez bem-sucedido, o ataque entra na fase dois, na qual o Smoke Loader é baixado e executado. Em seguida, o Smoke Loader faz o download e executa o trojan bancário Trickbot.

Figura 1 Progressão de ataque do Smoke Loader

Informação do arquivo

Arquivo de documento

O ataque começa com um anexo que representa uma fatura de uma empresa privada legítima. Quando o arquivo é aberto, o leitor recebe uma imagem incorporada que lembra uma fatura e um alerta de aviso.

Figura 2 – Documento malicioso solicita ao usuário ativar as macros, permitindo que ele inicie as operações

Tanto a fatura quanto o aviso são objetos na mesma imagem. O aviso do MS Word não é realmente acionado quando o arquivo é aberto. O documento oculta dezesseis macros maliciosas separadas e ofuscadas. Ativar as macros fará com que elas sejam executadas.

Figuras 3 e 4 – Macros maliciosas incorporadas na fatura falsa

Essas macros invocam várias instruções do PowerShell, incluindo uma que salva um arquivo .BAT nomeado aleatoriamente na pasta %temp%. A execução bem-sucedida das macros e instruções do PowerShell resultam no processamento do malware Smoke Loader no sistema de destino.

Figuras 5 e 6 – Instruções do PowerShell salvando aleatoriamente o arquivo .BAT na pasta %temp%

Smoke Loader

O Smoke Loader tenta carregar todas as DLLs do plug-in presentes no disco local.

Figura 7 – Smoke Loader procurando DLLs para carregar

O Smoke Loader também usa GetShellWindow->GetWindowThreadProcessId->NtOpenProcess para injetar-se nos processos e propagar-se. Se bem-sucedido, o Smoke Loader permanecerá indetectável para processos de iteração comuns.

Figura 8 – Introdução do processo do Smoke Loader

O Smoke Loader é usado principalmente para baixar outros malwares. Em nossos testes, ele baixou o trojan bancário Trickbot.

Estrutura idêntica de arquivos

Embora o Smoke Loader e o Trickbot executem funções separadas, os dois arquivos compartilham a mesma estrutura.

Figura 9 – Smoke Loader e Trickbot, ameaças gêmeas com estruturas de arquivos idênticas

As estruturas gêmeas de arquivos são o resultado de ambas as ameaças passarem pelo mesmo método de criptografia.

Trickbot

Quando executado, o Trickbot tenta se injetar no processo taskeng.exe.

Figura 10 – Trickbot injetando-se no taskeng.exe

Ele também se copia na pasta %Roaming%\NetDefender.

Figura 11 – Trickbot se copia no %Roaming%\NetDefender

O Trickbot tenta estabelecer comunicação com quase duas dúzias de servidores C2. Durante os testes, só foi bem-sucedido em alcançar um – 185[.]174[.]174[.]72.

Figura 12 – Trickbot busca múltiplos servidores C2

Quando uma conexão é estabelecida, o Trickbot envia qualquer informação sensível que tenha descoberto para o C2.

Figure 13 – Trickbot prepara a informação para exfiltração

Conclusão

O Smoke Loader é um malware eficaz, altamente configurável e bem estabelecido, que está sendo atualizado ativamente por grupos de ameaças. Trata-se de um malware modular, o que significa que ele pode receber novas instruções de execução de servidores C2 e baixar módulos adicionais para expandir sua funcionalidade. O Smoke Loader foi ativamente modificado para contornar e iludir medidas de proteção específicas, sendo ainda eficaz em março de 2018.

Se você é um cliente da Cylance que usa o CylancePROTECT®, já estava protegido contra esse ataque por nossos modelos de aprendizado de máquina. Nossa segurança cibernética baseada em inteligência artificial pode prever e bloquear malwares com um tempo médio de antecedência de mais de dois anos antes que as ameaças apareçam no ambiente cibernético – leia como aqui (em inglês).