Overview
O malware Smoke Loader (Dofoil), identificado pela primeira vez em 2011, retornou recentemente às manchetes. Essa ameaça, que muitas vezes serve de plataforma para baixar malwares adicionais, foi atualizada com os novos métodos de introdução de processos divulgados em 2017. Em março de 2018, o malware foi alterado para contornar as novas medidas implantadas pela Microsoft. Isso indica que os usuários do Smoke Loader estão dedicados a investir tempo e recursos para manter a ameaça viável.
A equipe de pesquisa de ameaças da Cylance dissecou recentemente uma forma ressurgente do Smoke Loader. Nossa investigação descobriu duas outras amostras de malware trabalhando com o Smoke Loader: um documento repleto de macros maliciosas e o Trickbot, um trojan bancário.
A seguir, uma visão geral técnica detalhando o que nossa pesquisa descobriu.
Análise técnica
A primeira etapa do ataque depende de um usuário abrir e ativar um documento carregado com macros maliciosas. Uma vez bem-sucedido, o ataque entra na fase dois, na qual o Smoke Loader é baixado e executado. Em seguida, o Smoke Loader faz o download e executa o trojan bancário Trickbot.
Informação do arquivo
Arquivo de documento
O ataque começa com um anexo que representa uma fatura de uma empresa privada legítima. Quando o arquivo é aberto, o leitor recebe uma imagem incorporada que lembra uma fatura e um alerta de aviso.
Tanto a fatura quanto o aviso são objetos na mesma imagem. O aviso do MS Word não é realmente acionado quando o arquivo é aberto. O documento oculta dezesseis macros maliciosas separadas e ofuscadas. Ativar as macros fará com que elas sejam executadas.
Essas macros invocam várias instruções do PowerShell, incluindo uma que salva um arquivo .BAT nomeado aleatoriamente na pasta %temp%. A execução bem-sucedida das macros e instruções do PowerShell resultam no processamento do malware Smoke Loader no sistema de destino.
Smoke Loader
O Smoke Loader tenta carregar todas as DLLs do plug-in presentes no disco local.
O Smoke Loader também usa GetShellWindow->GetWindowThreadProcessId->NtOpenProcess para injetar-se nos processos e propagar-se. Se bem-sucedido, o Smoke Loader permanecerá indetectável para processos de iteração comuns.
O Smoke Loader é usado principalmente para baixar outros malwares. Em nossos testes, ele baixou o trojan bancário Trickbot.
Estrutura idêntica de arquivos
Embora o Smoke Loader e o Trickbot executem funções separadas, os dois arquivos compartilham a mesma estrutura.
As estruturas gêmeas de arquivos são o resultado de ambas as ameaças passarem pelo mesmo método de criptografia.
Trickbot
Quando executado, o Trickbot tenta se injetar no processo taskeng.exe.
Ele também se copia na pasta %Roaming%\NetDefender.
O Trickbot tenta estabelecer comunicação com quase duas dúzias de servidores C2. Durante os testes, só foi bem-sucedido em alcançar um – 185[.]174[.]174[.]72.
Quando uma conexão é estabelecida, o Trickbot envia qualquer informação sensível que tenha descoberto para o C2.
Conclusão
O Smoke Loader é um malware eficaz, altamente configurável e bem estabelecido, que está sendo atualizado ativamente por grupos de ameaças. Trata-se de um malware modular, o que significa que ele pode receber novas instruções de execução de servidores C2 e baixar módulos adicionais para expandir sua funcionalidade. O Smoke Loader foi ativamente modificado para contornar e iludir medidas de proteção específicas, sendo ainda eficaz em março de 2018.
Se você é um cliente da Cylance que usa o CylancePROTECT®, já estava protegido contra esse ataque por nossos modelos de aprendizado de máquina. Nossa segurança cibernética baseada em inteligência artificial pode prever e bloquear malwares com um tempo médio de antecedência de mais de dois anos antes que as ameaças apareçam no ambiente cibernético – leia como aqui (em inglês).